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Крутой протектор — не беда | 


Каждыйкрэкеркогоанибудь сталкивается с 
такой защитой, перед которой все ‘инструменты 


сложных защитах и, главное, как их обходить? 
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Создай свою реальность 


с компьютером ОЕРО Ego на базе процессора Intel® Pentium® 4 с технологией HT 


pentium 


Включи DEPO Ego — и перед тобой откроется новая реальность твоих 
любимых компьютерных игр. Наслаждайся быстротой реакции и скоростью, 
исследуй распахнувшийся перед тобой мир высококачественной 
компьютерной графики и настоящего экшена. Теперь эта цифровая 
реальность может стать твоей благодаря компьютеру ОЕРО Едо на базе 
процессора Intel® Pentium® 4 с технологией НТ. 
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. реалистичный объемный 8-канальный звук 
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роцесс любого исследования очень интересен и притягателен. Познание как таковое присуще человеку с 
древнейших времен. Именно благодаря познанию мы стали приобретать отличия от обезьян и 
превратились, согласно теории Дарвина, в людей. Одно из достижений эволюции человечества - мир 
информационных технологий. Многие справедливо считают компьютер одним из величайших изобретений в нашей 
истории. Сегодня информационные технологии - это целая индустрия, без которой немыслимы быт и бизнес 
современного человека. 

А начиналось все с того самого кода: первые программисты упрямо набивали его, всматриваясь в монохромные 
экраны. Шли годы, появлялись новые технологии и языки, программные продукты становились все сложнее. Также 
благодаря жажде человека к познанию попытки постигнуть чужой код породили появление reverse engineering - 
обратной разработки, подразумевающей восстановление алгоритма программы путем анализа скомпилированного 
выполняемого срайла. Так появились крэкеры, скоро они стали объединяться в крэк-команды. Сегодня в мире 
насчитывается уже более ста крупных крэкерских групп, reverse engineering перестает быть просто хобби и 
формирует отдельную культуру. Настоящий крэкер никогда не станет заниматься исследованием кода ради 
заработка - для него это прежде всего познание, которое ценнее работы и гораздо ценнее простого увлечения. 
Крэкинг - это стиль жизни. 

Этот Спец полностью посвящен взлому и защите программ. Новичок найдет для себя много интересного и 
необходимого для занятий крэкингом, а профессионал - немало полезных советов. 
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ОБЗОР ПОМОЩНИКОВ ИССЛЕДОВАТЕЛЯ 


Чем мы сегодня и займемся. 


T воя любимая программа запросила денег, или тебе просто интересно 
раскрывать чужие секреты? Тогда, думаю, стоит заняться реверс- 
инженерингом, а еще лучше - крэкингом. Думаешь, с чего начать? Наверное, 
лучше начать с обучения использованию стандартных инструментов крэкера. 


НАЧАЛО НАЧАЛ 


А начинать необходимо 


всегда с простого, чтобы по- 


нять сложное. Для начала y3- 


наем, чем защищена и защи- 
щена ли вообще программа или СР с игруш- 
кой, как она шаманит с файловой системой, 
где следит в реестре. В этом нелегком деле 
поможет целый набор уже готовых программ. 
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Первоочередное geno данной программы - 
показать, на чем написан исследуемый 
файл, чем он упакован, если упакован вооб- 
ще. Также мы увидим информацию о секци- 
ях файла и другие атрибуты. Имеется встро- 
енный дизассемблер начала кода. Если счи- 
тать стандартные плагины, то тут и универ- 
сальный распаковщик, и восстановление им- 
порта, и криптоанализ. В общем, это вещь №1 
на крэкерском рабочем столе. 
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Что делать, когда нужно узнать, где в сис- 
темном реестре шаманит платная программу- 
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лина? Можно доверится REgMon'y или же 
ставить точки останова на обращение к ре- 
естру в отладчике. Но, по-моему, проще 
снять снимок реестра go и после определен- 
ной операции. Можно сделать снимок срай- 
ловой системы и определенных папок. И, са- 
мое главное, можно сравнить все это, и тогда 
пред нами встанет отчет обо всех изменени- 
ях реестра и указанных папок. Думаю, боль- 
ше слов не требуется - осталось запустить. 
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Иногда, однако, наши пакостники за счи- 
танные секунды создают временные Cpanel, 
а затем удаляют их. Тогда RegShot отходит на 
второй план и на его место вступает File moni- 
tor, который с частым обновлением показы- 
вает все обращения к файловой системе в 
данный момент. Главное - не упустить в быст- 
ро растущем списке свою программу и зак- 
рыть все, что только можно, перед запуском. 


RESTORATOR 


are — =: = 
3} 2- №2 oO 3.4 += 21 @ Ш Еф. В 


=== РТ Е 


Riek | 


ны — =_= = a 


Кто из нас не любит присваивать чужое? 
Там поменять имя автора в любимой про- 


грамме, или же, наоборот, достать ин- 
тересную картинку из жертвы. К тво- 
им услугам лучший редактор ресур- 
сов для таких дел - Restorator. После 
установки он встраивается в оболоч- 
ку, и исправить файл можно кликнув 
по нему правой кнопкой и выбрав 
open with restorator. Все иконки/кар- 
тинки/строки и прочие ресурсы с воз- 
можностью исправления будут как на 
ладони. 
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Что-то мы все о программах ga о 
программах. Думаешь заняться пират- 
ством, да вот какая-то защита не дает 
нормально скопировать диск? Хо- 
чешь узнать, что же это за напасть? 
Поручи geno PiD'y, простая, как Ре - 
без комментариев. 


MICROSOFT SPY++ 


Замечательный шпион за АР!-вызо- 
вами и перехватчик сообщений меж- 
ду приложениями от создателей 
Windows. Этот простенький шпион по- 
кажет тебе все взаимные зависимос- 


ти окон твоей программы. Есть дель- 
ный совет: при уборке NAG'a или бан- 
нера хорошо посмотреть размер вы- 
шесказанного этим шпионом. А далее 
в дизассемблер и искать помещение 
размеров в стек... вроде как мы нашли 
процедуру построения нехорошей 
рекламы, а дальше - дело времени. 


НЕХ-РЕДАКТОРЫ 

и Итак, мы рассмотрели выдающие- 
ся утилиты дознания и мониторинга. 
Пришло время углубиться внутрь. 
НЕХ-редакторы, как понятно из назва- 
ния - редакторы шестнадцатеричного 
кода, каким представлены все дан- 
ные, хранящиеся на компьютере. 


Вещь, необходимая для быстрого по- 
иска и (если необходимо) правки байт 
в исполняемой программе. 


HEXWORKSHOP 
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Лучший в своем роде НЕХ-редактор, 
сним может сравниться только 
WinHEx. Редактирование, расширен- 
ный поиск, работа с любой кодиров- 
кой, встроенный НЕХ-калькулятор для 
быстрых расчетов. Профессиональная 
версия редактора НЕХ-кодов срайла. 


ДИЗАССЕМБЛЕРЫ 

ш Целый класс программ, предназ- 
наченных для раскрытия исходного 
кода программы и представления его 
в виде ассемблерного листинга. OgHa- 
ко мы никогда не сможем получить 
достоверный и настоящий листинг 
программы, что связано хотя бы с тем, 
что дизассемблеры используют в ка- 
честве адресов вызовов процедур ag- 
реса памяти в текущее время, тем са- 
мым при таком подходе адреса могут 
быть заняты другой программой в 
данный момент, а также много отступ- 
лений, которые невозможно описать 
здесь. В целом же перед собой мы ви- 
дим добротный ассемблерный код то- 
го, что делает программа. Без дизасма 
не обходится ни один крэкер нашего 
времени. 


HIEW 


Дизассемблер с возможностью pe- 
дактирования кода, НЕХ-редактор с 
той же возможностью. Пожалуй, это 
основные отличительные черты дан- 
ной ОО$'овской утилиты. Порой pe- 
дактирование кода в кустарных усло- 
виях - незаменимая вещь, да еще с 
распознаванием АР!-функций. 


KWINDASM 

Старый добрый дизассемблер. Ho- 
вичкам вполне подойдет. Этот старик 
переживет еще многих своих собрать- 
ев. Отличительных черт не имеет за 
исключением просто хорошей, ста- 
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семблера. 


Интерактивный дизассемблер, если 
исключить его незнание русского 
языка, то он еще и уникальный в сво- 
ем роде продукт. Советую всем. Это 
туча функциональных настроек, подс- 
ветка различных секций исполняемо- 
го файла, работа с ресурсами и nogr- 
ружаемыми библиотеками, встроен- 
ный отладчик, развороты функций и 
трассирование переходов. Интерак- 
тивность дает возможность распозна- 
вания полиморфного кода. По всем 
параметрам очень продвинутый диз- 
ассемблер, листинг которого читается 
очень приятно. 


ДЕКОМПИЛЯТОРЫ 

m Среди языков программирования, 
некоторые (особенно те, что работают 
с виртуальными машинами), такие как 
Visual Basic, Borland C++ Builder, 
Delphi, оставляют в коде множество 
"мусора", меток, сообщений. Анализи- 
руя эти "остатки", декомпиляторы 
должны восстановить исходный код 
программы в первозданном виде. Это 
отнюдь не значит, что мы увидим все 
так, как было написано - такое невоз- 
можно. Но раскрыть код формы, пока- 
зать обработчики событий, созданных 
программистом, и умение раскрывать 
программу на исходные файлы - это 
задача декомпилятора. 


РЕБЕ 

Да, это так. Это действительно луч- 
ший декомпилятор Delphi-npunome- 
ний. Если программист не думал о за- 
щите от декомпиляторов, то ты полу- 
чишь не только дизассемблерный код 
программы. Код будет привязан к со- » 
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ННЫНИННННННАНННИ 


Реверсинг в разгаре 


Количество подчеркиваний для ме- 
ня является показателем уровня, на 
котором подерункция находится. Так, 
FormatDiskC - нулевой уровень, 
FormatDiskC_- первый, FormatDiskC__- 
второй. 

@. Если встречаю функцию, которая 
вызывает сфункцию нулевого уровня, 
но не делает ничего кроме этого (яв- 
ляется переходником для преобразо- 
вания типов), то добавляю подчерки- 
вание перед именем. Это надффункция. 
Пример: _FormatDiskC, DoDecrypt. 

Имена методов объектов, как обыч- 
но, Object::Method. 

Давать имена переменным часто 
бывает довольно сложно. Приходит- 
ся переименовывать их по три-четы- 
ре раза, если попадется какая-нибудь 
временная переменная. Но главной 
проблемой всегда было именование 
копий переменных. К примеру, в 
функцию передается указатель, и 
дальше, чтобы не испортить его зна- 
чение, он копируется в какую-то пе- 
ременную. То есть сначала именуют- 
ся аргументы, а дальше приходится 
именовать копии аргументов в ло- 
кальных переменных. Локальным пе- 
ременным - копиям аргументов - я 
даю имена с подчеркиванием в кон- 
Це. То есть аргумент функции имеет 
чистое имя, а у локальных перемен- 
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Построение графа code-flow функции часто помогает по- 
нять пути выполнения кода 
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НАБОР ИНСТРУМЕНТОВ ) 


бытиям, сделанным в Delphi. Также ты 
сможешь увидеть исходный код фор- 
мы и ее собственной персоной. Про- 
буй и наслаждайся. 


WISDEC 
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Замечательный декомпилятор инс- 
талляционных скриптов. Возможно, 
ты никогда и не будешь заниматься 
взломом Install Sheild, поскольку за- 
щита на этом уровне встречается все- 
таки довольно редко. Однако пройти 
мимо было бы кощунством. Програм- 
ма разбирает скрипт инсталляции по 
полочкам, и в недрах выявленного ко- 
да тебе, может, посчастливится найти 
заветный серийный номер, если нем- 
ного подумаешь. 


ОТЛАДЧИКИ 

ш Боевой сост крэкера. Про то, что 
отладчик также является дизассемб- 
лером, можно было и не упоминать. 
Первостепенная задача отладчика 
(естественно, отладка :)) - пошаговое 
выполнение анализируемого кода, 
возможность установки прерываний 
программы в связи с определенными 
событиями. Особенное отличие отлад- 
чика от остальных программ: отлад- 
чик работает с программным кодом в 
памяти компьютера, а не на диске. 
Оно, в принципе, и понятно: как-никак 
программа запущена. 


NUMEGA SOFTICE 

Великий и могучий, чье название 
внушает уважение всем, кто смог ус- 
тановить его и поработать с ним. От- 
ладчик режима ядра, входящий в сос- 
Tas Driver Studio. Главные плюсы - это 
загрузка gO основных модулей опера- 
ционной системы и возможность от- 
ладки абсолютно всех модулей. Это 
нулевое кольцо, а значит, высочай- 
шие привилегии для отладки. Перех- 
ват критических ошибок системы и 
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последующая отладка, вплоть до пе- 
рехвата синего окна смерти. Естест- 
венно, работает только в текстовом 
режиме. 


OLLYDBG 


Да, это тоже отладчик, но только pe- 
жима пользователя. Ты скажешь, что 
это не круто, и скажешь зря. Конеч- 
но, зо се лучше, но иногда важна 
простота и дружественный интер- 
фейс, что явно преобладает у полю- 
бившейся крэкерским кругам "Оли" :). 
Из отличий можно упомянуть, что 
Olly хорошо использовать как 90с- 
тойный диз-ассемблер. Явное отли- 
чие - возможность самостоятельно 
загружать для отладки не только ехе- 
‚ HO и 9!-файлы, что добавит огром- 
ный плюс новичку. 


УНИВЕРСАЛЬНЫЕ УТИЛИТЫ 

и Из универсальных утилит хочу 
выделить утилиты для получения сним- 
ков памяти, восстановления импорта, 
редакторов секций срайлов и многих 
добавочных сфункций, чем все эти прог- 
раммы обладают в полной мере. 


PETOOLS 
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Наконец-то ты нашел OEP, зациклил 
на нем программу. Остается лишь 
сохранить снимок памяти с распако- 
ванной программой. Обратимся за по- 
мощью к отличной универсальной 
утилите от нашего соотечественника 
PETools. Правый клик на нашем про- 
цессе - и Full dump! Кроме того, у 
программы есть еще много удиви- 
тельно полезных функций, мимо ко- 
торых пройти невозможно. Это 
Break&Enter - команда, помогающая 
прерваться в Softlce на точке входа в 
программу. Это свой редактор РЕ- 
файлов. Мы можем менять названия 


секций, атрибуты и многое другое. Из 
подобных PETools можно выделить 
LordPE Бу Yoda. 

В общем, смотри - все увидишь и 
поймешь сам. А если что-то непонят- 
но, то не забывай об авторе. 


IMPORT RECONSTRUCTOR 


Наконец-то мы получили дамп pac- 
пакованной программы. Вроде бы ни- 
чего не мешает нам исследовать ее, 
однако она даже не запускается. Да, 
дело в таблице импорта, которую 
при распаковке мы благополучно 
пр... потеряли :). Восстанавливать им- 
порт программ призвана утилита 
Import Reconstructor. Открываем в 
нем запакованный срайл, вводим 
найденные значения RVA и OEP, 
жмем Get Imports и (в зависимости от 
коэффициента кривизны рук), отсе- 
яв невалидные записи, фиксируем 
их в дампе программы. Другой такой 
программы по восстановлению им- 
порта, которая так же хорошо справ- 
ляется с задачей, я назвать не могу. 
Уж извините, так сложились звезды, 
и его могущество - код. 


НАПОСЛЕДОК 

m Как? Ты уже сломал программу? 
И даже сделал свой первый крэк. И 
он наверняка валяется пустым сфай- 
ликом без имени и фамилии. Тогда 
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флаг тебе в руки, и NFOmaker, и ему 
подобные. С помощью такой замеча- 
тельной программы упрощается соз- 
дание .nfo- и .4-файлов, которые, 
несомненно, должны присутствовать 
в архиве с крэком. Что там писать - 
уже твое дело. Почитай чужие, если 
сам придумать не сможешь. В об- 
щем, до новых встреч. Буду надеять- 
ся, что к тому времени ты уже напи- 
шешь свой инструмент. = 


Экосистема кораллового рифа является наиболее 
разнообразной и сложно устроенной во всей биосфере. 
Коралловые рифы служат домом для многочисленных 
видов рыб, крабов, моллюсков, червей, губои ” 
водорослей, обеспечивая их пищей и убежищем. 

Хотя коралловые рифы занимают менее. 0.2% 
площади океанского дна, в их биоценозах 

обнаружена четверть всех известных 

животных и растений океана. 7 
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R-Style’ Proxima’ MC-e 


Ha базе процессора Intel® Pentium® 4 560 с технологией HT 


Разнообразие возможностей для отдыха, развлечений и самообразования 
дает развлекательный центр R-Style® Proxima® MC-e. 

Благодаря мощным процессорам Intel® Pentium® 4 560 с технологией НТ, 
он заменит Вам музыкальный центр, РУО-рекодер и компьютер. 


Система качества проектирования, разработки и производства компании 
R-Style Computers сертифицирована по международному стандарту ISO 9001-2000 


Астрахань ТАН (8512) 394-254 Братск Байт (395-3) 411-121 Владивосток Эр-Стайл ДВ (4232) 205-410 
Воронеж Элмар Трейд (0732) 512-018 Екатеринбург R-Style (3432) 616-086 Калининград Балтик 
Стайл +7(0112) 99-11-99, 99-11-98 Кострома ИТ-Проффесионал (0942) 626-903 Кемерово 
Конкорд ПРО (3842) 357-888 Краснодар ВСС Сотрапу (8612) 640-450 Красноярск ЛанСервис 
(3912) 75-12-91/92/93 Москва R-Style Trading (095) 514-14-14, Компания R-Style (095) 514-14-10, 
Профит-М (095) 786-77-37, Сибкон (095) 292-50-12 Нижний Новгород Эр-Стайл Волга (8312) 464-328, 
461-622 Новосибирск Эр-Стайл Сибирь (383-2) 661-167 Пермь Эр-Стайл Кама (3422) 107-445 
Петрозаводск Илвес (8142) 762-288 Петропавловск-Камчатский АМН (4152) 168-751 Ростов- 
на-Дону Эр-Стайл Дон (863) 252-48-13 Санкт-Петербург Эр-Стайл СПБ (812) 445-34-18/17 
Тамбов Гитон (0752) 719-754 Тула ПитерСофт-НТ (0872) 355-500 Уфа Онлайн (3472) 248-228 
Хабаровск Эр-Стайл ДВ регион (4212) 314-530 Якутск Эльф (4112) 457333 
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Краткие технические характеристики: 
ологией НТ 
Window Media Center Edition 2005 
7.1 (до 8 каналов) 


Процессор Intel® Pentium® 4 560 с те: 
Операционная система: Micro 
Звук: поддерж андарта Dolb' 
ТУ-тюнер: PAL, / 
Пульт дистанционного управления 


Комплект беспроводных устройств: клавиатура, манипулятор «мышь» 


Оптовые поставки: ООО «Эр-Эс-Ай»: тел.: (095) 514-1419 
www-.rsi.ru 

Техническая поддержка: ЗАО «Эр-Стайл Компьютерс»: 
тел.: (095) 514-1417; бесплатный телефон: 8-800-200-800-7 
www.r-style-computers.ru 


Сделано в России. Сделано na совесть! 


Intel, Intel logo, Intel Inside, Intel Inside logo, Intel Centrino, Intel Centrino logo, Celeron, Intel Xeon, Intel SpeedStep, Itanium, Pentium, and Pentium Ш Xeon are trademarks or registered trademarks of Intel Corporation ог its subsidiaries in the United States and other countries. 
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Иван Скляров (www.sklyaroff.com) 


БЕССМЕРТНЫЙ 
ОТЛАДЧИК 


БЕССМЕРТНЫЙ ОТЛАДЧИК ) 


о се является частью 


Driver Studio (или 


Driver Siute). Driver 


Studio занимает боль- 


шой объем - в архиве 
около 200 Мб! В связи с этим крэкера- 
ми были созданы маленькие инстал- 
ляторы, включающие только 50 се с 
самыми важными файлами, извлечен- 
ными из Driver Studio. Таким инстал- 
лятором является, например, архив от 
русского крэкера ВеМоМХ, размером 
всего около 2 Мб (ищи на крэкерских 
сайтах) и имеющий две отдельных 
версии (для Win9x и МИпМТ/2000/ХР). 
Такого "упрощенного" инсталлятора 
хватает практически для любых за- 
дач, и именно на его примере я рас- 
скажу о 5о се. 


УСТАНОВКА SOFTICE 

ш Установка "упрощенного" инстал- 
лятора от установки Driver Studio 
практически ничем не отличается. Са- 
мым важным является окно коноригу- 
рации. Здесь необходимо в разделе 
Videos установить видеодрайвер - ре- 
комендуется по умолчанию оставлять 
"Universal Video Driver", иначе возник- 
нут проблемы. В разделе Mouse нужно 
честно выбрать тип мыши, который ус- 
тановлен в твоей системе (PS/2, USB). 
Если мышь имеет более двух кнопок, 
можно поставить галочку Enchanced 
Mouse. Также очень важным является 


раздел Exports - здесь нужно вклю- 
чить необходимые библиотеки, чтобы 
можно было работать с именами 
функций WinAPI, иначе 5о се просто 
не будет понимать их. Удобнее вклю- 
чать эти библиотеки не через кнопку 
Add, а с помощью редактирования 
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САМЫЙ МОЩНЫЙ ОТЛАДЧИК ВО БЛАГО ЧЕЛОВЕЧЕСТВУ! 


файла winice.dat, который в 
NT/2000/XP стандартно устанавлива- 
ется в папку \%systemroot%\sys- 
tem32\drivers\ (в Win9x он размещал- 
ся в папке \WINDOWS). В этом файле 
можно обнаружить строки вида: 


; EXP=\SystemRoot\System32\hal.dll 
- EXP=\SystemRoot\System32\ntoskrnil.exe 
; EXP=\SystemRoot\System32\ntall.dll 


Перед всеми ними нужно убрать 
знак комментария "';". Замечу, что инс- 
таллятор от ВеМоМХ устанавливает 
файл winice.dat с уже раскомментиро- 
ванными строками, поэтому ничего де- 
лать не нужно, но при установке Driver 
Studio это He так. Однако не все библи- 
отеки, которые могут понадобиться в 
работе, упомянуты в Winice.dat. Напри- 
мер, если отлаживать программу, на- 
писанную Ha Visual Basic 6.0, нужно 
будет добавить в список библиотеку 
msvbvm60.dll, иначе будет невозмож- 
на работа с именами функций VB. 

Далее на вкладке Startup, если уста- 
новка осуществлялась под 
NT/2000/XP, рекомендуется выста- 
вить ручной запуск 5о се (Manual) (a 
в Win9x нужно было выставлять ре- 
жим Boot, который самостоятельно мо- 
дифицировал сфайл autoexec.bat). Пос- 


ле перезагрузки системы нужно за- 
пустить файл NTICE.BAT из папки, ку- 
да был установлен бо се. Этот файл 
содержит всего одну команду: "net 
start ntice", которая запускает в систе- 
ме службу отладчика Ntice. 

Проверить работу 5о се можно на- 
жатием комбинации <Ctrl>+<D> (эта ком- 
бинация открывает окно отладчика, и 
она же закрывает его). Если черный 
экран с приглашением к вводу поя- 
вился, то все ОК. К сожалению, не все 
бывает так гладко и часто возникают 
проблемы с запуском. Конкретные ре- 
комендации здесь дать сложно, так 
как они зависят от операционной сис- 
темы, на которой осуществляется ус- 
тановка, а также от версии Driver 
Studio - может понадобиться устано- 
вить дополнительный патч. Поэтому 
рекомендую статью "Установка отлад- 
чика SoftICE Ha Windows ХР SPI, SP2" 
(автор Bad_guy), которая лежит по ag- 
ресу www.cracklab.ru/art/softice php, где рассмот- 
рено большинство проблем, возмож- 
ных после установки Softlce, и спосо- 
бы их решения. 


УСТАНОВКА SOFTICE ПОД 
VMWARE 

ш Лучше использовать самую пос- 
леднюю версию VMware, так как безг- 
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лючная работа Зо се во многом 3a- 
висит от виртуальной машины. В це- 
лом установка отладчика в VMware 
осуществляется точно так же, как в 
обычной системе. Рекомендую до на- 
чала установки в VMware выполнить: 
File->Install VMware Tools. Но если на 
гостевой Windows 98SE Зо се у меня 
прекрасно устанавливается и работа- 
ет, то Ha Windows ХР под VMware ком- 
бинация <Ctri>+<D> просто "подвеши- 
вала" виртуальную систему. Те, кто 


ставил когда-либо пакет Driver Studio, 
знают, что в каталоге 
\DriverStudio\Books\ размещается go- 
кумент Using SoftICE.pdf (в инсталля- 
торе от ВеМоМХ он отсутствует). В 
"Using SoftICE" целый раздел посвя- 
щен установке о се nog VMware: 
"Appendix Е. Зо СЕ and VMware". В 
нем рекомендуется добавить в файл с 
расширением мтх виртуальной ма- 
шины следующие строчки: 


ee) 


Эти строчки замечательно решают 
проблему, что можно подсмотреть на 
рисунке. 


ИНТЕРФЕЙС ПОЛЬЗОВАТЕЛЯ 
SOFTICE 

Экран Зо се состоит как минимум 
из нескольких окон. В окне команд 
расположен курсор, позволяющий 
вводить команды. В окне кода пока- 
зывается отлаживаемый код - окно 
можно открыть и закрыть командой 
WC. Команда WD открывает и закры- 
вает окно данных, соответственно: WR - 
окно регистров, WS - окно стека, WW - 
окно слежения, WL - окно локальных 
переменных. Можно задавать размер 
любого окна (количество строк в ок- 
не) таким образом: WW 10. В окнах 
действуют обычные клавиши управ- 
ления: стрелки, End, Home, PageUp, 
PageDown и пр. Для перемещения 
курсора в окно кода и обратно ис- 
пользуется комбинация клавиш 
<Alt>+<C>. Комбинация <Alt>+<D> ис- 
пользуется для перемещения в окно 
данных, <Alt>+<R> - в окно регистров, 
<Alt>+<S> - в окно стека и т.д. 


ЗАГРУЗКА КОДА В SOFTICE 

Открыть программу для отладки в 
Softlce можно, по крайней мере, двумя 
способами. 


Способ 1. С помощью загрузчика 

Для 32-разрядных программ исполь- 
зуется загрузчик Symbol Loader 
(Пуск->Программы->Митеда SoftlceNT-> 
Loader 32). В нем во вкладке Open 
нужно открыть отлаживаемую прог- 
рамму (при этом сервис 5оЁ се gon- 
жен быть уже запущен с помощью 
МТСЕ.ВАТ). Затем выбрать пункт Load 
из меню Module. При этом загрузчик 
создаст символьный срайл (если воз- 
можно) с расширением .NMS, в кото- 
рый заносится оттранслированная от- 
ладочная информация, загрузит сим- 
вольные и исходные файлы, запустит 
саму программу и отобразит ее исход- 
ный текст в 5о се. При этом точка 
прерывания устанавливается на стар- 
товой сдфункции программы (main, 
WinMain, ОИМа!). 

Для 16-разрядных программ исполь- 
зуется загрузчик widr.exe, а для DOS- 
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Symbol Loader используется для загрузки 32-разрядных 
файлов в Softlce 
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программ - загрузчик didr.exe. Оба на- 
ходятся в папке UTIL16, где установ- 
лен 5о се. Программу можно загру- 
жать прямо из командной строки: 


/util6>dldr dosproga.exe 


Способ 2. С помощью установки 
бряка 

Простое открытие программы с по- 
мощью загрузчика мало интересно крэ- 
керам. Самое важное, за что любят 
бо се, так это за его умение работать с 
бряками (англ. breakpoint - точка оста- 
нова). Бряк позволяет отслеживать оп- 
ределенные события в системе и вызы- 
вать отладчик только по их наступле- 
нию. Алгоритм крэкера выглядит следу- 
ющим образом: устанавливается бряк 
на нужную сфункцию (на сообщение, 
память, прерывание), закрывается 
о се комбинацией <СН>+<[> (или ко- 
маноой х), провоцируется вызов функ- 
ции в программе (например в результа- 
те ввода пароля), после того как бряк 
сработает и активизируется отладчик, 
анализ показанного кода. 5о се nog- 
держивает следующие типы бряков: 

BPX - бряк на функцию или адрес в 
программе. Пример: ВРХ 
MessageBoxA. После установки такого 
бряка, как только в системе произой- 
дет вызов функции MessageBoxA, ак- 
тивизируется 5о се и курсор в окне 
кода будет установлен на том коде, 
который вызвал эту функцию. ВРХ - 
наиболее часто используемый крэке- 
рами бряк. Чаще всего он ставится на 
API-cpyHkuuu: GetWindowText и 
GetDigltemText. 

BPM - бряк Ha обращение к памяти. 
Пример: ВРМ 602380 - если произой- 
дет обращение к памяти по адресу 
602380, сработает Softlce Ha том ко- 
де, который осуществил обращение 
по этому адресу. Эта команда имеет 
несколько разновидностей: BPMW - 


бряк на обращение к слову, BPMD - 
бряк на обращение к двойному слову. 
Также в командной строке можно за- 
давать тип обращения: Р - чтение па- 
мяти, W - запись в память, RW - чтение 
и запись, Х - выполнение. Пример: 
BPMD 402438 R. 

BPINT - бряк Ha прерывание, переда- 
ваемое через ОТ. Пример: BPINT 6F - 
если произойдет программное преры- 
вание, вызываемое командой INT 6F, 
то 5о се покажет код, который выз- 
вал его. 

BPIO - бряк на прерывание вво- 
да/вывода. Этот бряк перехватывает 
обращение к порту команд IN и OUT. 
Пример: BPIO ЗЕЕ - если произойдет 
прерывание ЗЕЕ, активизируется 
Зо се, а текущей командой окажется 
инструкция, следующая за командой 
IN или OUT, вызвавшей прерывание. 
В командной строке можно задавать 
тип обращения: R - чтение из порта 
(команда IN), W - запись в порт (ко- 
манда OUT), RW - чтение и запись. 
Пример: BPIO 2A W. 

BMSG - бряк на сообщения Windows. 
Пример: BMSG 5200 WM_GETTEXT - 
если будет послано сообщение 
WM_GETTEXT окну с дескриптором 
5200, то Зо се активизируется и по- 
кажет тот код, который послал это со- 
общение. 

Любой из перечисленных бряков 
может быть задан с дополнительным 
условным выражением [IF выраже- 
ние] и действием при срабатывании 
бряка [DO "komaHgal; команда?; ..."]. 
Пример: BPX 78C23155 IF (esp- 
>8)==WM_GETTEXT DO "d edx". Ecnu 
будет послано сообщение WM_GET- 
ТЕХТ процедурой окна 78С23155, то в 
зо се выполнится команда "4 edx", 
которая показывает содержимое па- 
мяти в окне данных по адресу, содер- 
жащемуся в регистре edx. 


Самыми известными плагинами gna 50 се 
являются IceDump и IceExt. 
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Внизу экрана 5оЁ се всегда можно 
посмотреть подсказки по синтаксису 
команд. 


ПРИМОЧКИ ДЛЯ SOFTICE 

m Очень полезно, а иногда даже не- 
обходимо установить дополнитель- 
ные "примочки" (плагины) для Softlce. 
Самыми известными такими примоч- 
ками являются IceDump и IceExt (мож- 
но взять на сайте WwWw.wasm.ru). Они 
умеют скрывать отладчик от антиот- 
ладочных приемов в программе, а так- 
же дополняют 5о се многими полез- 
ными возможностями и командами. 
Вот лишь некоторые команды, KOTO- 
рые добавляет плагин IceExt: 

!ВРВ - прерывание на диапазон 
памяти. 

!СР - устанавливает кодовую страни- 
цу (866 или 1251). 

!IDUMP - сбрасывает дамп памяти 
на диск. 

IDUMPSCREEN - сбрасывает qpotor- 
расффию окна SoftICE на диск в RAW- 
формате (потом ее можно преобразо- 
вать в ВМР-сдормат программой 
SiwRender.exe, которая идет в комп- 
лекте с IceExt). 

!LOADFILE - загружает в память 
файл с диска. 

!IPROTECT - переводит SoftICE в pe- 
жим, невидимый gna обнаруживаю- 
щих его программ. 

ITETRIS - можно поиграть в тетрис, 
не выходя из 50 се. 

Установка плагинов происходит go- 
вольно просто. Например, для установ- 
ки IceEXt нужно запустить его инстал- 
лятор Setup.exe, по окончании установ- 
ки выполнить срайл iceext.bat (или 
Myck->Start IceExt), который запускает 
сервис IceExt, после чего смело поль- 
зоваться командами IceExt в 50 се. 


ЭТО ТОЛЬКО НАЧАЛО 

ш Конечно, в такой маленькой 
статье сложно рассказать обо всех 
возможностях 5о се. Поэтому смотри 
подробности в "Using SoftICE" (в ин- 
тернете легко найти перевод на рус- 
ский язык - "SoftICE руководство 
пользователя") и читай крэкерские 


сайты! 


Этот скриншот экрана Softice сделан с помощью плагина IceExt 
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Пришли код логотипа (к примеру “1001") на номер 44.46. 
пришли код wO168 на номер 4445. 


Пришли код термина (к примеру “\0001”) на номер 4444.4. 


(код w0008) (код w0092) 
(код w0009) (код w0093) 
(код м0010) (код w0094) 
(код м0011) (код w0095) 
(код w0012) (код w0096) 
(код w0013) (код w0097) 
(код w0014) (код w0098) 
(код w0015) (код w0099) 
(код w0016) (код w0100) 
(код м 0017) (код w0101) 

(код w0018) (код w0102) 
(код w0019) (код w0103) 
(код w0020) (код w0104) 
(код w0021) (код w0105) 
(код w0022) (код w0106) 
(код w0023) (код w0107) 
(код w0023) (код w0108) 
(код w0025) (код w0109) 
(код w0026) (код м0110) 

(код w0027) (код м0111) 

(код w0028) (код м0113) 

(код w0029) (код w0114) 

(код w0030) (код м0115) 

(код w0038) (код w0116) 

(код w0040) (код м017) 

(код w0041) (код w0118) 

(код w0042) (код м0119) 

(код w0043) (код м 0120) 
(код w0044) (код м0121) 

(код w0045) (код w0128) 
(код w0047) (код w0129) 
(код w0048) (код w0130) 
(код w0049) (код w0131) 

(код w0050) (код w0132) 
(код w0051) (код w0133) 
(код w0052) (код w0134) 
(код w0053) (код w0135) 
(код w0054) (код w0136) 
(код w0055) (код w0137) 
(код м0056) (код w0138) 
(код w0057) (код w0139) 
(код w0058) (код w0140) 
(код w0059) (код w0141) 

(код w0060) (код w0142) 
(код м 0061) (код w0143) 
(код w0062) (код w0144) 
(код w0063) (код w0145) 
(код w0064) (код w0146) 
(код w0065) (код w0147) 
(код w0066) (код w0148) 
(код w0067) (код w0149) 
(код w0068) (код w0150) 
(код м 0069) (код w0151) 

(код w0070) (код w0152) 
(код w0071) (код w0153) 
(код w0072) (код w0154) 
(код w0073) (код w0155) 
(код w0074) (код w0156) 
(код w0075) (код w0076) 


Пришли свои термины на номер 4445 в виде 98 
termini (например “98 баг"). Не более 160 
символов латиницей или 70 кириллицей. 
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Подробности: www.i-free.ru, (095) 916-7253, (812) 118-4575, support@i-free.ru. Для заказа картинок включи услугу WAP/GPRS-goctyna в Интернет (оплачивается 

согласно твоему тарифному плану). Проверить возможность закачки можно зайдя на мар-сайт http://4446.ru. В случае ошибки уточни настройки в службе 

поддержки твоего оператора. Стоимость запроса на номер 4444 - 50,30 без учета налогов, на номер 4445 - 50,60 без учета налогов, на номер 4446 - 50,90 без 
учета налогов, на номер 4449 - $3,00 без учета налогов. В случае ошибочного запроса услуга считается оказанной. 
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ДОКОПАТЬСЯ ДО 


ИСТИНЫ 


ш Согласно широкому 


взгляду, реверсивная 
инженерия представ- 

ляет собой подход к созданию новых 
систем на основе существующих. Час- 
то ее используют в промышленном 
шпионаже, и это не слепое спионери- 
вание, а анализ продукта, созданного 
конкурентами. Также реверсинг при- 
меняется для переработки собствен- 
ных систем, если код программы уже 
настолько сложен, что проще восста- 
новить всю систему, чем вчитываться 
в тонны документации. Тот же метод 
применяется в ре-инженерии (повтор- 
ной инженерии), при анализе 
собственного продукта, чтобы опреде- 
лить узкие места реализации. Кто-то 
использует реверсивную инженерию 
программного обеспечения для напи- 
сания антивирусов, кто-то реверсит 
антивирусы, чтобы писать не видимые 
для них вирусы. Плоха или хороша ре- 
версивная инженерия, как обычно, за- 
висит от контекста: для родины ты раз- 
ведчик, для врагов - шпион. И тяга к 
ней у человека проявляется с раннего 
детства, когда он разламывает игруш- 
ки, чтобы понять, как они сделаны :). 

В этой статье мы разберем два важ- 
ных этапа реверсинга: дизассембли- 
рование и декомпиляцию. 
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ПОСОБИЕ ПО РЕВЕРСИНГУ ДЛЯ НАЧИНАЮЩЕГО 


ИНСТРУМЕНТЫ 

и Реверсить голыми руками у нас 
умеют только уникумы, которые, как в 
сфрильме "Хакеры", смотрят Ha шест- 
надцатеричный дамп и сразу все по- 
нимают. Большинству нормальных 
людей все-таки нужны инструменты. 
Твой выбор будет зависеть от постав- 
ленной задачи, я же приведу список 
утилит, нужных для реверсинга 
Win32-nporpamo. 

Первый, главный и незаменимый 
инструмент - это дизассемблер. Тут 
без вариантов: Interactive 
Disassembler Pro (дальше IDA Pro), на 
текущий момент единственный 
действительно интерактивный дизас- 
семблер, просто незаменимая вещь. В 
нем проводится 95% работ. 

Редактор РЕ-файлов - любой име- 
ющийся у тебя. Главное, чтобы он 
также умел выводить список про- 
цессов и модулей: PE Tools, Lord PE, 
PEditor. 

Редактор ресурсов РЕ-файлов: 
ResHacker или ExeScope. Бывает 
очень нужен, когда все текстовые 
строки вынесены из кода в секцию ре- 
сурсов или специальную DLL. 

Декомпиляторы: Dede, Dj java 
decompiler, SWF Decompiler и т.д. Если 
ты занимаешься реверсингом боль- 
шого продукта, будь готов к тому, что 
он окажется составленным из кучи 
EXE, DLL, Activex, причем все они бу- 
дут написаны на разных, самых HEO- 
жиданных языках. 

Различные информационные 
инструменты: Filemon, Regmon, HDD 
Serial/USB Monitor, Greatis Windowse, 
Spy++, OLE/COM object viewer. Очень 
помогает плагин KANAL к Ре: он 
позволяет находить криптоалгорит- 
мы, используемые в программе. В об- 
щем, нужно иметь как можно больше 
инструментов, которые предоставля- 
ют какую-то неочевидную информа- 
цию о программе. 

Кажется, это все. Let's get it started! 


АНАЛИЗ СУЩЕСТВУЮЩЕЙ 
ИНФОРМАЦИИ 

и Итак, основная задача реверсера - 
разобраться в том, как работает чу- 


жой код. Чтобы сделать это быстрее, 
мы должны получить как можно боль- 
ше сведений об исследуемом npogyk- 
те, поэтому в первую очередь лезем 
на посвященный ему сайт. Там навер- 
няка есть информация о технологиях, 
задействованных в программе. Нап- 
ример, описан способ шифрования, 
вынесены благодарности каким-ни- 
будь компаниям за библиотеки и т.д. 
Какой именно протектор использо- 
вался, конечно же, не скажут. Одна- 
ко, опять же, реверсинг - это не борь- 
ба с защитой, а самостоятельное ис- 
следование кода. 

Программисты - люди, как правило, 
ленивые и рациональные, поэтому 
они очень любят использовать гото- 
вый код. А где обычно берут готовый 
код? Правильно, на SourceForge и 
иже с ним. Реверсер обязательно дол- 
жен ознакомиться с библиотеками, 
которые использовались в исследуе- 
мой части программы, чтобы иметь о 
каждой из них хотя бы общее Npegc- 
тавление. Множество платных библи- 
отек можно найти на варезных сайтах 
или в р2р-сетях. Но если уж Tak "по- 
везло", программисты написали все 
сами и ничьим кодом не пользова- 
лись или код был куплен и его невоз- 
можно добыть из интернета на халя- 
ву, то есть другой путь - посмотреть, 
как реализованы аналогичные прог- 
раммы. Как ни причудлива человечес- 
кая фантазия, но схожие задачи люди 
обычно решают одинаково. Возьмем, 
к примеру, два менеджера закачек - 
reget и flashget. Ну и что? Разницу 
между ними можно найти только на 
высоком уровне, а внизу одни и те же 
API МИппе{. А если тебе нужно разоб- 
раться с продуктом, написанным на 
VC, и у него есть аналог Ha Delphi. Ko- 
выряй последний, потому что иссле- 
довать Веры всегда проще. 

Часто бывает полезно посмотреть 
предыдущие версии программы: ты 
можешь найти или отладочную 
(debug) версию, или незащищенную. 
В конце концов, в начальных версиях 
код проще. 

Реверсинг невозможен без знания 
того, как компилятор реализует те или 
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А так выглядит код после применения 
сигнатур 


иные конструкции языка высокого 
уровня. Поэтому если попадается 
программа, написанная на каком-ни- 
будь малораспространенном компиля- 
торе, сначала нужно изучить компи- 
лятор, сделать сигнатуры для IDA с 
его библиотек. Сигнатуры - это шабло- 
ны кода срункций, позволяющие IDA 
находить и именовать библиотечные 
срункции внутри файлов. Поэтому 
стоит сделать сигнатуры и для библи- 
отек, которые используются в иссле- 
дуемом продукте, чтобы распознать 
их части в коде. Это сократит время 
анализа в несколько раз, поскольку 
не придется анализировать библио- 
течные функции. Для создания 
собственных сигнатур есть набор 
инструментов FLAIR, идущий с IDA. 
Только после этого стоит переходить 
к следующему этапу. 


ДИЗАССЕМБЛИРОВАНИЕ 


ПОИСК ИНФОРМАЦИИ В КОДЕ 
m= Первым делом определим компи- 
лятор. Самый простой способ сделать 
это - применить все сигнатуры. Тогда 
по функциям из той или иной библио- 

теки все сразу станет ясно. Можно 
просто поискать оставленные компи- 
лятором следы вроде строк "Borland" 
и "Microsoft". 

Основные сведения, которые могут 
пригодиться при исследовании, лежат 
прямо в файле программы. Это отла- 
дочная информация, копирайты, стро- 
ки, обработка ошибок и т.д. Файл с от- 
ладочной информацией часто содер- 
жит имена функций, типы их парамет- 
ров, имена структур и еще много все- 


го. Поэтому всегда нужно искать отла- 
дочные варианты. Копирайты поведа- 
ют о версии использованных библио- 
тек и их именах. Программы Ha Delphi - 
вообще отдельная тема: в файлах ос- 
таются имена и классов, и модулей. 
Разные строки в коде, оставленные 
программистом оля ведения лога и 
анализа ошибок - это просто кладезь 
информации! Особенно если програм- 
мист делает вывод ошибки типа 
"Error at function MYFUNCTION () 
pointer to ХХХХХХ object == NULL". 
Сразу понятно, какая это функция и 
какие параметры что в нее передают. 

Если в программе есть логирование, 
нужно обязательно найти и включить 
его. Программисты используют лог- 
фрайлы, чтобы видеть этапы работы 
программы, параметры ее запуска и 
результаты. В программах, в которых 
задействованы СОМ-объекты, gonon- 
нительной информацией являются 
ТЕВ-файлы. По ним ты найдешь прак- 
тически всю функциональность СОМ- 
объекта. Если удается найти PDB- 
фрайл, задача реверсинга упрощается 
в несколько раз, так как РОВ-файл 
может содержать информацию об 
именах функций и типах параметров. 

Если программа многоязычная или 
использует вместо строк/сообщений 
их коды, обязательно сделай таблицу 
для перекодирования. Тебе нужно 
будет найти таблицу соответствия 
этих кодов к сообщениям об ошиб- 
ках. В IDA это можно организовать в 
enum. Такие таблицы обычно хранят- 
ся в ресурсах или вынесены в от- 
дельный сфайл. 


АНАЛИЗ И СИСТЕМАТИЗАЦИЯ 

m Общий подход. Перед реверсером 
всегда стоит дилемма: сверху или сни- 
зу? Подход сверху означает, что ана- 
лиз начинается от обработчика како- 
го-то события GUI, то есть реверсер 
понятия не имеет, как оно работает. 
Подход снизу означает анализ от OG- 
ной из API. Такая проблема особенно 
актуальна, если исследуется какая- 
нибудь сложная система. 

Пример подхода сверху. Например, 
есть программа, которая работает с 
нестандартной базой данных недоку- 
ментированного срормата. Данные в 
базе шифруются, и их можно прос- 
мотреть в открытом виде только где- 
то на среднем уровне. На верхнем 
уровне находятся просто какие-то 
объекты, каждый из которых имеет 
неизвестную структуру, и неведомо, 
какие параметры могут передаваться 
в его методы. Внизу лежат API-OTKpbI- 
тия, чтения и записи в файл. Посере- 
дине идут слои преобразования шидр- 
рования/дешиефрования данных. 
Нужно научиться читать такие базы 
данных. 

Для начала проведем разделение 
на уровни, чтобы знать, где мы нахо- 
димся. Первый анализ должен быть 
поверхностным, сортировочного типа: 
"Тут у нас открытие, тут общение с 


GUI, тут шифрование, здесь реализа- 
ция SQL". 

Дальнейший анализ следует начи- 
нать с простых коротких операций, 
чтобы посмотреть, как работает GUI и 
как выглядит вся цепочка вызовов. 
Очень сильно помогает восстановле- 
ние структур и классов. Анализируй 
функциональности проекта по мере 
их сложности, накапливая с каждым 
разом как можно больше информа- 
ции о классах, структурах и типах дан- 
ных. Анализ крупных проектов всегда 
связан с анализом взаимодействия 
классов, поэтому если в ООП не раз- 
бираешься, хочешь не хочешь, при- 
дется выучить. 

Пример подхода снизу. Есть прог- 
рамма, работающая с драйвером, в 
котором и реализована функциональ- 
ность. Нужно узнать, как можно рабо- 
тать с драйвером без программы. Или, 
например, нужно декомпилировать 
алгоритм работы драйвера для реали- 
зации в ring 3. Тут сразу видно, что 
есть точка старта внизу. Эта точка - 
обмен данными между драйвером и 
программой, то есть функция 
DeviceloControl(). Анализ начинается с 
перехвата управляющей программы. 
Смотрим, какие ОСТЕ-коды нужны 
каждой из функциональностей. После 
этого дизассемблируем драйвер и ис- 
следуем код, обрабатывающий каж- 
дый из нужных ОСТ! -кодов. Далее 
снова анализируем программу для оп- 
ределения параметров, передаваемых 
в драйвер, и т.д. 

Для получения наилучшего эфорек- 
та оба подхода нужно комбинировать, 
выбирая тот или иной в зависимости 
от текущей подзадачи. 


ОФОРМЛЕНИЕ DISASM- 
ЛИСТИНГА 

и Внутренней информации часто 
бывает мало. Функции низкого уров- 
ня могут быть чисто алгоритмическо- 
го типа, без вызовов API. А может по- 
пасться ге!еазе-вариант, где все выли- 
зали и не оставили вообще никаких 
намеков. В таком случае придется 
придумывать свой подход для имено- 
вания переменных/функций/структур. 
Единого стандарта тут нет, и я сам 
еще не до конца для себя решил, как 
их называть. Пока при именовании я 
ввожу подфункции и надефункции. С 
функциями, найденными по ходу ре- 
версинга, я поступаю по следующему 
принципу: 

©. Если встречаю срункцию, которая 
полностью реализует какую-то сфунк- 
циональность, я даю ей имя этой 
функциональности. Пример: 
FormatDiskC, DoDecrypt и т.д. 

©. Если внутри именованной сфунк- 
ции встречаю вызов неименованной 
функции, которая выполняет конкрет- 
но реализацию функциональности, то 
даю ей имя с подчеркиванием в кон- 
це. Это подфрункция. Пример: 
FormatDiskC_, DoDecrypt_. 


Если реверсинг 
для тебя толь- 
ко начинается, 
изучи все воз- 
можности IDA. 
В первую оче- 
редь иди на 
http://idapro.ru 
Над. 


Информацию о 
декомпиляции 
можно найти в 
статьях Крис- 
тины Сифуен- 
тес по адресу 
www.cs.ug.edu. 
au/~cristina/ 
pubs.html. 


Горячо реко- 
мендую про- 
честь книгу 
Криса Касперс- 
ки "Техника и 


философия ха- 
керских атак". 
Удели особое 
внимание гла- 
вам не о взло- 
ме, а об анали- 
зе кода. Крис 
детально опи- 
сал, как можно 
распознавать 
функции, 
классы, слож- 
ные механиз- 
мы OOM, как 
анализировать 
стек и многое 


другое. 
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Используя граф вызовов, намного про- 
ще выделить уровни абстракции, ис- 
пользуемые в программе 


ИИ 


Самый удобный способ искать следы от- 
ладочной информации в списке строк 


Перекрестные ссылки позволяют найти 
все места вызов функций или обраще- 
ния к переменным 


ных в именах есть подчеркивание. 
Еще при именовании аргументов я 
стараюсь выделять входные и выход- 
ные параметры, дописывая им судр- 
фиксы _in или _out. Обязательно 
ставлю префикс "р", если передается 
указатель. Называть структуры и 
классы сложно, имена часто прихо- 
дится придумывать в зависимости от 
данных, которые они хранят в себе, 
но большей частью приходится про- 
являть чудеса воображения. Подход 
типа Structi, Struct2... при появлении 
десяти и более структур запутывает 
напрочь. Иногда мне хочется, подоб- 
но астрономам, использовать кодо- 
вые имена. Но это неэфорективно, по- 
тому что имя функции/структуры 
должно нести информацию о том, что 
она содержит и что делает. 
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Самый удобный способ искать следы от- 
ладочной информации в списке строк 


При анализе кода помни, что прог- 
раммисты - тоже люди, они тоже пы- 
таются писать красивый и понятный 
код. И если где-то выделяется па- 
мять, это значит, что где-то она очи- 
щается. Если создается объект, зна- 
чит, он где-то используется и где-то 
уничтожается. Используя информа- 
цию о жизненном цикле, можно сна- 
чала отследить и отреверсить какой- 
то один несложный объект/структуру, 
а далее, основываясь на этом объек- 
те, реверсить более сложные объек- 
ты, которые взаимодействуют с ним. 
Это намного эффективнее, чем охва- 
тывать все целиком. Анализ любой 
функции тоже производится с учетом 
известных данных. 

Если в функции есть вызовы API, 
нужно поименовать все переменные 
и аргументы, исходя из прототипов 
функций. Старайся подписывать все, 
что только можешь: регистры, пере- 
менные, срункции, точки переходов, 
пиши комментарии. Обязательно на- 
ходи и именуй циклы: переменную- 
счетчик, точку возврата и точку выхо- 
ga. Я обычно даю имена @Loop, 
@Break, @Continue. Очень сильно по- 
могает именование точек переходов - 
мест, куда совершается переход при 
ошибке и при нормальном выполне- 
нии кода. Я называю их @Ok и @Error. 

Если в коде есть вызовы виртуаль- 
ных функций (регистровые вызовы), 
обязательно проверь стек - IDA не 


умеет анализировать его после вызо- 
ва виртуальной функции. 
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Те самые таблицы строк, которые вынесены в секцию 
ресурсов 


COM/OLE Object viewer - незаменимый источник инфор- 
мации о СОМ-объектах 


ЧТО ДЕЛАТЬ ДАЛЬШЕ 

и Когда уровни выделены и есть 
представление о классах и нужных 
API, уже можно извлекать код из 
программы и пытаться использовать 
его. Есть два подхода: декомпиляция 
вручную и переассемблирование ас- 
семблерного листинга. Первый способ 
более трудоемкий, но при его исполь- 
зовании ты чист перед законом, пос- 
кольку не используешь чужой код, а 
пишешь свой. Второй способ дает 
очень быстрый результат. Ты сразу 
получаешь Obj, который и линкуешь 
к программе. Этот кусок кода в твоей 
программе будет совпадать с оригина- 
лом байт в байт, и для гневного заяв- 
ления "Это плагиат!" будет много ос- 


нований. 


Windows предоставляет полную информацию об окне 
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ОБЗОР СРЕДСТВ ДЛЯ ВОССТАНОВЛЕНИЯ 
ИСХОДНОГО КОДА ПРОГРАММ 
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осстановление UCXOG- 


ного кода программы 


во многом стало BO3- 


можным из-за массы 
лишней информации 
06 оригинальном коде в откомпили- 
рованном сфайле, а также из-за OGHO- 
типности структур и операторов, ис- 
пользуемых в языках высокого уров- 
ня. Декомпиляторы анализируют из- 
быточную информацию, и, зная, как 
компилер того или иного языка лю- 
бит представлять некоторые структу- 
ры, пытаются создать на базе сырого 
кода программы некоторое подобие 
исходника. У некоторых это даже 
неплохо получается. Лучше всего 
декомпилируются программы, кото- 
рые выполняются не напрямую про- 
цессором, а виртуальной машиной 
(написанные Ha Java, Visual Basic, 
FoxPro, .NET и т.п.). Причина этого 
кроется в том, что инструкции вирту- 
альных машин, как правило, высоко- 
уровневые и объединяют сразу нес- 
колько машинных команд. Иными 
словами, это те же операторы и клю- 
чевые слова языка программирова- 
ния, только записанные немного ина- 
че, с некоторой оптимизацией 
инструкций языка разработки. 
Вторыми по простоте декомпиляции 
идут программы, написанные на таких 
языках программирования, Kak Delphi 
и C++ Builder. Несмотря на то, что 
данные языки не имеют дела с вирту- 
альными машинами (кроме разве что 
платформы .NET), а компилируют 
программы в нормальный паНу\е-код, 
они любят использовать собствен- 
ные стандартные библиотеки вроде 
VCL и оставляют в ЕХЕ-файлах много 
лишней информации, используя ко- 


лись и начали выдавать так называе- 
мые обфускаторы кода, способные 
вычищать лишнюю информацию из 
программ, чтобы хоть как-то препят- 
ствовать декомпиляции, однако об 
этом пока мало кто знает, а вот сама 
среда разработки используется уже 
вовсю. К чему это ведет? К росту ко- 
личества кейгенов, конечно :). 

Что ж, давай посмотрим, какие де- 
компилеры уже успели появиться 
на свет. 


DEDE BY DAFIXER 

m Самый знаменитый декомпилятор 
Delphi. Работает с программами, ском- 
пилированным любыми версиями 
Delphi, кроме восьмой (так как она 
создает .МЕТ-код). Парень с ником 
DaFixer, написавший его, действитель- 
но молодец. Мало того, что он создал 
такой полезный инструмент, он еще и 
не пожалел для народа исходного ко- 
да одной из его старых версий! По- 
добный сорец может очень приго- 
диться тому, кто изучает код, генери- 
руемый борландовскими монстрами. 

Что же делает эта программа? Мно- 
гое - разве что яичницу не жарит. 
Для начала предоставляет тебе все 
формы в оригинальном виде и дает 
возможность полазить по процеду- 
рам и функциям, имеющимся в прог- 
рамме. Помимо дизассемблерного 
листинга этих функций, программа 
пытается распознать стандартные 
операторы и типы Delphi u добавляет 
их в комментарии к ассемблерному 
коду. Особенно радует распознава- 
ние блоков типа: 


try 


торую можно также вполне успешно except 
восстановить исходный код. 8 
Что же касается новомодной среды end: 


разработки .NET, то благодаря 
действительно невероятному количе- 
ству избыточной информации, храня- 
щейся в ехе-файлах компилируемых 
программ, можно чуть ли не с100% 
точностью восстановить исходный 
код, написанный кодером. Разработ- 
чики сего проекта вовремя опомни- 
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Кроме того, эта программа умеет 
создавать исходник, который можно 
открыть в Delphi. А если ты использу- 
ешь в качестве дизассемблера 
WDasm (о ужас!), то тебе точно будет 
полезна возможность Dede экспорти- 
ровать данные в понятный ему фор- 


Dede by DaFixer 


мат. В общем, весьма позитивный ge- 
компилер. Главный минус Dede в том, 
что он не умеет выдергивать из 
ехе'шника компоненты, используемые 
в программе. Из-за этого в сгенериро- 
ванном исходнике присутствует мно- 
жество нераспознанных типов дан- 
ных. Но это не большая беда, так как 
заставить полученный код работать 
все равно не удастся, как ни крути. А 
исследовать его - пожалуйста. 

Программу вместе с сорцами бери 
на WWW.Wasm.ru. 


SOURCERESCUER 

m Еще один декомпилер Delphi, Ho 
попроще. Умеет восстанавливать 
формы и генерировать заголовки pas- 
файлов. Главное отличие от Dede - 
мгновенная работа и более эргоно- 
мичный интерсорейс. Что ж, одной 
программе дано иметь крутой интер- 
фейс, другой - крутые возможности, 
тут ничего не поделаешь. Из главных 
особенностей декомпилятора можно 
выделить то, что он может создавать 
шаблон исходника не только в фор- 
мате Delphi, но и в формате Builder'a. 


SourceRescuer 


Фишка простая (после компиляции 
программы из Delphi и C++ Builder ма- 
ло чем отличаются), но полезная. 
Распространяется в двух видах: GUI и 
консольном. Насколько я понял, тре- 
бует регистрации. 

Взять можно отсюда: Wli.ems-hilech.com. 


ВЕС BY GIAMPIERO CAPRINO 

m Полное название - the Reverse 
Engineering Compiler. Программа, кото- 
рая с успехом преобразует в UCXog- 
ный код на С любой попавшийся ей 
на глаза исполняемый Copan. Конеч- 
но, сорец получается мало похожим 
на оригинал, но разобраться в нем бу- 
дет несложно. REC определяет cpyHk- 
ции исследуемого срайла, основные 
блоки и структуры языка, такие как if, 
for, switch, вызовы API, и делает вооб- 
ще все возможное, чтобы код стал по- 
нятным С-программисту. Однако не 
удивляйся, если увидишь в исходнике 
что-нибудь вроде: 


eaXtt: 
for(ecx=1000;ecx!=0;ecx--) 
{ 


ebx = ебхбесх; 


Это нормально. И, я думаю, лучше 
уж исследовать это, чем: 


00400000: — inc eax 
00400001: — mov ecx, 1000 
00400006: — and ebx, ecx 
00400008: — loop 00400006 


Хотя на вкус и цвет... Некоторые 
знают ассемблер даже лучше, чем 
русский матерный. Из приятных мело- 
чей: кроссплатформенность (кроме 
Windows, декомпилятор считает pog- 
ными Linux, Mac OS Х и Solaris); nog- 
держка нескольких форматов испол- 
няемых файлов (REC не ограничился 
одними РЕ и COFF, он умеет анализи- 
ровать и ELF, и АОЧТ, и даже 
Playstation Р5-Х). 

Любому С-ориентированному ревер- 
серу must have. Качать тут: Wiili.Dacker 
street.com/rec/recdload.htm. 


„МЕТ REFLECTOR BY LUTZ 
ROEDER 

и Динамично развивающийся бесп- 
латный и мощный декомпилятор 


REC by Giampiero Caprino 


„МЕТ Reflector by Lutz Roeder 


„МЕТ-сборок. Практически любую 
программу, собранную по новой мел- 
комягкой технологии, он без проблем 
представит в виде полного исходника 
со всем деревом наследования клас- 
сов. Подсветка синтаксиса, гиперссыл- 
ки на объекты классов, удобный и 
приятный интерфейс - все это гово- 
рит лишь об одном: в декомпилиро- 
вании .МЕТ-сборок этому инструменту 
нет равных. Если ты исследуешь 
„МЕТ-программы или просто хочешь 
взглянуть на свою разработку глаза- 
ми реверсера, быстрее качай это чу- 
go. Must have однозначно. Вместе с 
самим декомпилером можно скачать 
удобный инструментик для выдира- 
ния ресурсов из .МЕТ-сборок. 

За программами и их регулярными 
обновлениями лезь на 
www.aisto.com/roeder/dotnet. 


DJ JAVA DECOMPILER 

m= А это уже декомпилер Java-Knac- 
сов. Довольно прост и удобен. Отк- 
рываешь в нем класс и сразу же ви- 
дишь его исходник. Имеется непло- 
хая подсветка синтаксиса, поиск и 
настройки. Также есть браузер клас- 
сов и объектов. В общем, очень неп- 
лохой и интересный декомпилятор. 
Жаль только, что ехе-файлы, напи- 
санные Ha Java, не декомпилирует. 

Лежит здесь: 
http://members.fortunecity.com/neshkov/dj.html. 
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ReFox by Jan Brebera 


REFOX BY JAN BREBERA 

ш Со слов людей, использующих 
его, это довольно мощный декомпи- 
лятор программ, созданных на 
ГохРго. Причем какая "Фокса" - не 
критично. Декомпилер берет и DOS-, 
и Windows-Bepcuy, причем не только 
стандартные, но и закриптованные 
модули. Даже если код был скомпи- 
лен nog Macintosh, ReFox возьмется 
изучать его и даже портирует выход- 
ной вариант по DOS/Windows. Коро- 
че, если ты долго разрабатывал эко- 
номическую программу для своего 
отдела и ненароком потерял ее сор- 
цы, обращайся к ReFox - он не оста- 
вит тебя в беде. 
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ДЕКОМПИЛЯТОРЫ VISUAL 
BASIC 

m= Взлом приложений, созданных с 
помощью Visual Basic и скомпилиро- 
ванных в р-код, был мукой для взлом- 
щиков go тех пор, пока не стали по- 
являться нормальные декомпилято- 
ры этого языка. Сейчас их уже очень 
много, практически на любой вкус. 
Они делятся на три типа: декомпиля- 
торы форм, редакторы ‹рорм и деком- 
пиляторы р-кода. Также есть прог- 
раммы, сочетающие в себе сразу нес- 
колько возможностей, о них мы тоже 
не забудем. 


VBREZO 

и Один из самых стабильных деком- 
пиляторов форм. Хотя, кроме ста- 
бильности, он ничем больше и не при- » 


Лучше всего декомпилируются программы, 
которые выполняются не напрямую 
процессором, а виртуальной машиной. 


ББ Ух 
VBRezQ 
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VB Editor Бу НЕХМАМ 


мечателен ;). Объявления АР!-функ- 
ций делает без параметров, от чего 
пользы мало. Код He декомпилирует 
вообще. Имеет довольно подробную 
документацию и просит за свое ис- 
пользование немало зеленых прези- 
дентов. В общем, его, наверное, стоит 
использовать, если тебе не жалко де- 
нег и нужно декомпилировать только 
элементы MHTepqenca. 

Найти можно тут: wwW.vbrezg.com. 


VB EDITOR BY HEXMAN 

м На этот раз абсолютно бесплат- 
ный редактор форм и лежащих на них 
объектов. Если ты занимаешься руси- 
фикацией программ, но не можешь 
ничего поделать с теми, что написаны 
на VB (Restorator тут бессилен), смело 
бери в руки VB Editor. На основе cge- 
ланных изменений редактор может 
сгенерировать форму, поэтому он 
вполне достоин статуса достойной 
альтернативы упомянутому выше 
VBRezQ. Забавно, что из двух поддер- 
живаемых языков интерфейса, анг- 
лийского и французского, по умолча- 
нию грузится именно сфранцузский. 
Однако вряд ли у тебя возникнут 
большие сложности с ориентацией в 
программе даже в процессе сношений 
с меню на непривычном оля тебя анг- 
Лийском. 

Качай отсюда: Wi multimania.com/hexman, 


VBREFORMER BY SYLVAIN 
BRUYERE 

m Еще одна работа французских 
программистов. Эта программа явно 
помощнее предыдущей. Помимо 
просмотра и изменения форм, пре- 
доставляет также возможность вы- 
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VBReFormer by Sylvain Bruyere 
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ДЕКОМПИЛЯТОРЫ _) 


драть из ехе'шника всякие изображе- 
ния, которые обычно лежат в frx- 
файлах. Trial-Bepcus позволяет толь- 
ко просматривать результаты. При 
этом не только запрещается сохра- 
нять результат, но и постоянно обну- 
ляется буфер обмена, дабы исклю- 
чить и возможность копирования. От- 
сюда, прежде чем запускать програм- 
мулину, убедись, что в буфере нет 
нужных, но еще не сохраненных дан- 
ных. Помимо всего прочего, 
VBReFormer предоставляет для 0630- 
ра некоторые данные из заголовка 
ехе-сфайла, потому адрес точки входа 
в программу и Image Base можно уз- 
нать прямо не отходя от кассы. Еще 
один плюс софтины - она умеет рас- 
познавать используемые в декомпи- 
лируемой программе ActiveX файлы 
и позволяет просмотреть все их 
свойства и методы. Жаль только, что 
не использует эту информацию при 
генерации сформ - там все ActiveX'bI 
выглядят немного убого, без свойств 
и присвоенных им данных. При неко- 
тором желании эта тулза может об- 
рыскать весь твой жесткий диск в по- 
исках программ, написанных Ha VB. 
Зачем это нужно, не знаю. Наверное, 
для тестирования возможностей на 
разных ехе'шниках. 

Если программа тебе приглянулась, 
то {па-версию можешь взять здесь: 
www.decompiler-vb.tk. Думаю, ты сумеешь по- 
ладить с ней. 


RACEEX6 

= А этот монстр пытается декомпи- 
лить и формы, и р-код, но представля- 
ет на экран всю информацию в таком 
убогом виде, что не поймешь, какие 


RaceEx6 


данные к чему относятся. Так же, как 
и предыдущая софтина, умеет дер- 
гать графику из программ, написан- 
ных на \/В. Когда мучает р-код, деком- 
пилит только методы - с передаваемы- 
ми в них параметрами туго. В общем, 
если довести интерфейс до ума, полу- 
чилась бы вполне нормальная штука, 
но автору, судя по всему, этим зани- 
маться лень. 

Брать можешь отсюда: \и\\\.гасесо.5. 


EXDEC ВУ JOSEPHCO 

и Наверное, самый известный в 
среде крэкеров декомпилятор р-кода. 
Как говорится, старенький, но рабо- 
чий. Возможность у программы всего 
одна - декомпилить p-code в том ви- 


exdec by josephco 


де, в каком он есть. То есть того ко- 
да, который писал программист на 
VB, ты не увидишь, а BOT то, что сге- 
нерировал компилятор - да, причем в 
довольно читабельном для npoqec- 
сионала виде. В комплекте с прог- 
раммой идут примеры и небольшой 
учебник. Вероятно, он поможет тебе 
хотя бы немного понять, что означа- 
ет вся эта декомпилированная муть 
и как читать ее, поэтому, если ты 
разбираешься с р-кодом впервые, 
очень советую обратить внимание на 
этот tutorial. 

Найти родной сайт программы помо- 
жет только Google. Сам дистрибутив 
же можешь взять с ими.мазтли или на- 
шего диска. 


VBPARSER 

m Почти полный аналог exdec, толь- 
ко написанный китайскими разработ- 
чиками. Результат своей работы не 
только выводит на экран, но и сохра- 
няет в файле ParseVB.txt. На случай 
ее падения (а такое частенько случа- 
ется) этот файл здорово пригодится. 

Бери ее с диска - судя по всему, она 
не имеет родного сайта. 
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p32Dasm by DARKER 


P32DASM BY DARKER 

и Лучшая альтернатива exdec'y и 
VBParser'y. В отличие от двух преды- 
дущих, написана на VB (ехаес и 
\/ВРагзег Ha С++) и достаточно неп- 
лохо развивается в последнее вре- 
мя. Имеет подсветку синтаксиса, 
калькулятор адресов, умеет деком- 
пилировать с определенного смеще- 
ния в файле, а также, подобно диз- 
ассемблерам, способна представить 
все строки и функции, используемые 
в программе, в удобном списке с воз- 
можностью мгновенно перейти на 
интересующую тебя позицию в лис- 
тинге. Главный недостаток - неста- 
бильность работы и медленная ско- 
рость, в остальном же программа 
стоит того, чтобы не только посмот- 
реть ее, но и даже записать в 
джентльменский набор. Распростра- 
няется бесплатно. 

Брать отсюда: 
http;//llamellik webzdarma.cz/forumb/index.php. 


VBDE BY IORIOR 

и Довольно неплохой декомпиля- 
тор, причем бесплатный. Декомпилит 
формы (правда, без Activex). Выдает 
адреса на все процедуры, а если это 
возможно, то выводит не только ag- 
рес процедуры, но и ее имя, что зна- 
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‘Semi VB Decompiler by vbgamer45 | 


чительно упрощает анализ. Пытается 
декомпилировать паН\е-код, однако 
в большинстве случаев, кроме опера- 
торов сложения, вычитания и вывода 
MessageBox'a, ничего декомпильнуть 
не может. Несмотря на все эти ужасы, 
этот зверь довольно удобный и ста- 
бильный, поэтому рекомендую всегда 
держать его под рукой. 

Сайта у программы нет - бери ее с 
диска. 


SEMI VB DECOMPILER BY 
VBGAMER45 

ш Довольно интересный проект. До 
недавнего времени распространялся 
в исходниках Ha VB, а теперь стал 
коммерческим. Несмотря на некото- 
рую глючность, бесплатная версия 
умеет довольно многое. Декомпилят- 
ся формы, содержащаяся в них гра- 
фика и названия процедур. Также 
определяются используемые в прог- 
рамме АР!-функции. Помимо этого, 
предоставляется информация из за- 
головков РЕ. Есть даже попытки де- 
компилировать р-код. В общем, соз- 
дается довольно приятное впечатле- 
ние. Огромный респект автору за 
сорцы. Думаю, многим будет полезно 
заглянуть в них, чтобы понять, как 
происходит анализ кода \В. Честнос- 
ти ради скажу, что исходники написа- 
ны жутко, и порой, когда смотришь 
на некоторые участки кода, хочется 
плакать, хотя код этот и выполняет 
заложенные в него функции. Но, как 
говорится, дареному коню в зубы не 
смотрят. Поэтому быстрее беги на 
http://pscode.com/vb/scripts/ShowCode.asp?txtCodeld=559358 
ngWid=|, пока сорцы еще там, а если хо- 
чешь, купи у автора новую версию - 
поддержи парня. 


VB DECOMPILER BY GPCH 
m= A вот мы и дошли go моего 
собственного декомпилера VB. Я пы- 


VB Decompiler Бу GPcH 


тался внести в него как можно боль- 
ше возможностей, при этом не загро- 
мождая интерфейс тем, что никогда 
не пригодится. В итоге имеем: деком- 
пилятор форм с поддержкой 
ActiveX'oB, лежащих на них (при этом 
декомпилятся только общие для 
всех ActiveX'oB свойства), декомпи- 
лятор р-кода (причем, если в бес- 
платной | ве-версии он напоминает 
p32Dasm'oBckui, то в Рго-версии 
программа пытается перевести р-код 
в исходникоподобный читабельный 
вид, что часто помогает быстрее вос- 
становить нужные куски кода) и де- 
компилятор ссылок на АР! (при этом 
они записываются уже в объявлен- 
ном виде со всем списком парамет- 
ров). Подсветка синтаксиса тоже 
есть. Также для каждого модуля с 
кодом есть свой список встречаю- 
щихся там символьных строк с BO3- 
можностью мгновенно перейти на 
участок кода их использования. При- 
сутствует также поиск, помогающий 
найти нужный код в активном окне. 
Результат работы можно сохранять, 
причем вместе с кодом и формами 
сохраняются и гх-файлы с графикой 
и корректно прописываются ссылки 
на эти графические объекты в фор- 
мах. В общем, если тебе не нужен де- 
тальный декомпиль p-code'a, вполне 
можешь ограничиться бесплатной 
| Че-версией. Если все же нужна Pro, 
пиши мне на мыло - договоримся о 
цене. Кстати, программа еще не вы- 
росла go стадии разработки и имеет 
некоторые баги (все-таки, на момент 
написания статьи, версия 0.2). И 
еще: декомпилер предназначен толь- 
ко для восстановления твоих исход- 
ников, если вдруг ты их потерял иу 
тебя есть только ЕХЕ. Если же ты ро- 
ешься в чужой программе, помни: 
вся ответственность за это лежит на 
тебе, поэтому не забывай читать ли- 
цензионное соглашение, прежде чем 
лезть в чужой код :). 

[ Че-версию можешь скачать отсю- 
да: http://vbdecompiler.dotfix.net. 

Здесь же лежат примеры работы 
Рго-версии. 


ЗАКЛЮЧЕНИЕ 

и Как видишь, дефицита декомпи- 
ляторов не наблюдается. При этом 
очень хорошо чувствуется разница 
между профессиональными и лю- 
бительскими разработками, она ве- 
лика как в качестве, так и в цене. 
Несмотря на это, многие смогут 
обойтись бесплатными разработка- 
ми. Если же ты исследователь за- 
щит (не по душе мне слово "крэ- 
кер", а более общее и правильное 
"реверсер" мне ласкает слух), TO, 
думаю, для тебя не составит труда 
сделать даже коммерческие прог- 
раммы бесплатными для себя :). 
Главное - не переусердствовать. He 
забывай, что закон существует, и, 
как ни странно, он един для всех. 
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m Дебаггер - неверо- 


ятно мощный инстру- 

мент взломщика, одна- 
ко к нему нужен свой подход. Боль- 
шинство начинающих хакеров начи- 
нают отлаживать программу с точки 
входа и в итоге умирают в цикле вы- 
борки сообщений. Пошаговое испол- 
нение программы (также называемое 
трассировкой) - слишком трудоемкий 
и крайне неэсффективный процесс. 
Событийно-ориентированные (то есть 
практически все виндовые) приложе- 
ния так не отлаживаются. Допустим, 
мы трассируем МЕС-программу: дохо- 
gum go вызова AfxWinMain и оказыва- 
емся глубоко внутри MFC42.DLL, отку- 
да и должен вызываться весь пользо- 
вательский код, однако прежде чем 
трассировка доберется до него, мы ус- 
пеем состариться! 

Но отлаживать программу целиком 
совершенно не обязательно! Опыт- 
ные хакеры трассируют только от- 
дельные части защитного кода. Как 
мы найдем их в миллионах машинных 
инструкций исполняемого файла? Су- 
ществует множество методик: точки 
останова, раскрутка стека, перекрест- 
ные ссылки, условная трассировка, 
прямой поиск паролей/серийных но- 
меров в памяти и т.д. Расскажем обо 
всем этом поподробнее. 

Испытания мы будем проводить над 
программой Drive LED от компании 
O&O Software, ее З0-дневную демон- 
страционную версию можно скачать с 
сайта www.00-software.com/en/download/index shtml. 


ДИЗАССЕМБЛЕР И ОТЛАДЧИК 
В ОДНОЙ УПРЯЖКЕ 

m Дизассемблер содержится в каж- 
дом отладчике (мы же не собираемся 
отлаживать программу Henocpeg- 
ственно в машинном коде, верно?), но 
те дизассемблеры, что находятся 
внутри 5о се или OllyDbg, слишком 
примитивны. UDA (IDA Pro) намного 
мощнее. Она автоматически распоз- 
нает имена библиотечных функций, 
определяет типы локальных перемен- 
ных и делает множество других по- 


ХАКЕРСПЕЦ | 08(57) | 2005 


лезных вещей, в частности, позволя- 
ет комментировать листинг и назна- 
чать символьные метки для инструк- 
ций и данных. Исследовать защищен- 
ные программы с ее помощью - нас- 
тоящее удовольствие. Однако без де- 
баггера все равно никак. Вызовы ти- 
na call [ebx+64h] в дизасм-пистинге 
приводят хакеров в бешенство, осо- 
бенно если функция вызывается все 
время с разным ЕВХ. На выяснение 
значения этого регистра в дизассемб- 
лере можно ухлопать целый день, а в 
отладчике просто "подсмотрел" его - 
и все! 

Или вот вызывается что-то по адре- 
cy 77E92B8D, лежащему где-то внут- 
ри операционной системы (при дизас- 
семблировании дампов памяти такие 
адреса встречаются сплошь и рядом). 
В отладчике достаточно просто дать 
команду "и 77E92B8D", и мы тут же 
увидим, что это CreateFileA. 


Бессмысленно спорить, кто круче: от- 
ладчик или дизассемблер. Эти инстру- 
менты взаимно дополняют друг друга. 
Реконструкцию алгоритмов лучше по- 
ручить дизассемблеру, а все непонят- 
ные места уточнять в отладчике. 

Загрузка символов в дебаггер осу- 
ществляется довольно неочевидным 
образом, на котором спотыкаются мно- 
гие начинающие. Последовательность 
действий должна быть следующей. 

Сначала исследуемый срайл пропус- 
каем через ИДУ. Затем в меню File 
выбираем пункт Produce output file-> 
Produce MAP file (причем имя MAP- 
файла должно совпадать с именем 
самого дизассемблируемого срайла). 
В появившемся диалоговом окне 
взводим все три галочки: 
Segmentation information (информа- 
ция о сегментах), Autogenerated 
names (автогенерируемые имена) и 
Demangle names (размагленные име- 


Бессмысленно спорить, кто круче: отладчик 
или дизассемблер. Эти инструменты взаимно 
дополняют gpyr gpyra. 


Загрузка символьной информации в loader32 


= — - символами все и так ясно. К тому же 
символьные имена можно использо- 

=. вать в точках останова, например: 
"bpx _fgets" (установить точку остано- 

ы ва на функцию чтения пароля) или 
"bmp aMygoodpassword" (установить 
бряк Ha код, обращающийся к эталон- 
ному паролю). 

г 


ТОЧКИ ОСТАНОВА 
НА ФУНКЦИИ 

ш Точки останова (они же break- 
point'bI unu просто бряки) - основное 
оружие хакера в борьбе с защитными 
механизмами. Наибольшей популяр- 
ностью пользуются точки останова на 
АР!-ункции. Чтение содержимого ок- 
на часто (но не всегда) осуществляет- 
ся функцией GetWindowTextA, откры- 
тие файла - CreateFileA, загрузка gu- 
намической библиотеки - LoadLibraryA 
ит.д. С помощью установки бряка на 


эти функции мы можем локализовать 


защитный код, заставив отладчик 
всплывать всякий раз, когда защита 
Е пытается сделать что-то нехорошее. 

Проблема в том, что АР-функций 
очень много и угадать, каким именно 
способом защита манипулирует ок- 
ном, не так-то просто. Обычно исполь- 
зуется либо тупой перебор всех воз- 
можных вариантов один за другим, 
либо АР!-шпионы, показывающие, что 
происходит под капотом отлаживае- 
мой программы. 

Для установки brakepoint'a Ha ка- 
кую-нибудь функцию достаточно на- 
жать <Ctrl-D> и, дождавшись появле- 
ния отладчика на экране, написать 
"bpx имя_функции". Однако нужно 
учитывать, что в 5о се точки оста- 
нова носят глобальный характер, и 
если мы установим бряк на функ- 
цию CreateFileA, отладчик будет вы- 
лезать при каждом открытии/созда- 
нии любого файла в системе. Вот ра- 
дость! Чтобы охладить пыл oTnaguu- 


== ка, необходимо использовать услов- 


ные точки останова. Допустим, мы » 


на). Полученный МАР-файл скармли- 
ваем утилите idasym (ее можно ска- 
чать с сайта wiw.idapro.com) и конвертиру- 
ем в °ут-формат. Далее с помощью 
утилиты NMsym, входящей в комплект 
поставки Зо се, зут-сайл преобра- 
зуем в пт. Уф! Половина работы 
сделана! Запускаем NuMega Symbol 
Loader, в его меню File выбираем 
пункт Open, открываем NMs-cpann и 
жмем Module->Load. Появившаяся 
надпись "Symbols for C:\TEMP\SIM- 
PLE.NMS successfully loaded" говорит 
о TOM, что все прошло успешно. Оста- 
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Испытания ме- 


тодик отладки 
мы проводим 
над програм- 
мой Drive LED 
от компании 
0&0 Software. 
Ee 30-дневную 
демонстраци- 
онную версию 
можно скачать 
с сайта 
www.oo-soft- 
ware.com/en/d 
ownload/index. 
shtml. 
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лось только открыть исполняемый 
файл (File->Open и Module->Load). 

Посмотри на скриншоты и сравни, 
как выглядит экран отладчика с сим- 
волами и без них. 

Без символьной информации назна- 
чение функций 4012341 и 401124h 
совсем не очевидно, и на их отладку 
можно было бы угробить несколько 
часов лучших лет своей жизни, ас В документации к OllyDbg описаны все возможные выражения | 
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хотим всплывать только на файле 
"keyfile.key". Открываем MSDN и 
смотрим прототип CreateFile. Видим, 
что IpFileName передается в крайнем 
левом аргументе. Поскольку аргу- 
менты АР!-функций заносятся в стек 
справа налево, указатель на имя 
открываемого файла окажется на 
вершине стека - ниже только адреса 
возврата. 

Таким образом, в момент вызова 
CreateFile IpFileName будет лежать по 
смещению 4, относительно ESP, и ус- 
ловная точка останова будет выгля- 
деть так: "bpx CreateFileA if (*(esp 
>4)=='keyf')". Имя файла, заключен- 
ное в кавычки, автоматически преоб- 
разуется отладчиком в 32-разрядную 
константу, поэтому его длина не 
должна превышать четырех байт, 
причем отладчик чувствителен к реги- 
стру ('КеуР и 'Keyf! для Hero - не одно 
ито Же), а вот файловая система - 
нет. В большинстве случаев частич- 
ного сравнения имени оказывается 
вполне достаточно. Если же будет не- 
достаточно, можно прибегнуть к опе- 
ратору AND и сравнивать несколько 
четырехбитных NOGCTPOK за раз. Син- 
таксис условных точек останова под- 
робно описан в документации на 
Softice, так что не будем останавли- 
ваться на этом. 

Многие защиты противостоят бря- 
кам, например, начиная выполнение 
АР--функции не с первого байта. В та- 
ких случаях приходится прибегать к 
установке brakepoint'os на native-API - 
своеобразному срундаменту операци- 
онной системы, ниже которого нахо- 
дятся только порты ввода/вывода и 
драйверы. Описание функций native- 
АР! можно найти в Interrupt List'e 
Ralfta Brown'a или "The Undocumented 
Functions Microsoft Windows NT/2000" 
от Tomas'a Nowak'a. В частности, для 


создания/открытия сайлов использу- 
ется NtCreateFile. 

Отладчик OllyDbg поддерживает 
намного более мощный механизм ус- 
ловных точек, позволяющий отслежи- 
вать практически любые ситуации. 
Например, выражение ЕАХ == "тур- 
swd" заставит дебаггер всплывать 
всякий раз, когда регистр ЕАХ указы- 
вает на строку с паролем/серийным 
номером, который мы ввели при реги- 
страции. Это универсальный способ 
взлома, подходящий практически ко 
всем защитам. Каким бы образом 
программа ни извлекала содержимое 
окна редактирования, в какой-то мо- 
мент она неизбежно засунет указа- 
тель в регистр. Вот тут-то мы с отлад- 
чиком и всплывем! Процедура про- 
верки соответствия пароля будет rge- 
то неподалеку. Конечно, этим регист- 
ром не обязательно должен быть 
ЕАХ. Вполне вероятно, что компиля- 
тор задействует EBX, ESI или что-то 
еще. Документация на OllyDbg заяв- 
ляет о поддержке выражения R32 == 
"mypswd", где R32 - любой регистр 
общего назначения, однако в теку- 
щих версиях отладчика эта конструк- 
ция не работает и все регистры прихо- 
дится перебирать вручную (благо 
можно написать свой плагин, автома- 
тизирующий этот процесс). 

Помимо API, можно брякать библио- 
течные функции. В приложениях, на- 
писанных на 
Delphi/Builder/MFC/Visual Basic, пря- 
мые вызовы API используются редко. 
И хотя никакое дело без API-cpyHk- 
ций, конечно же, не обходится, их 
анализ дает мало что, особенно если 
используется динамический обмен 
данных с окном (DDX) и другие наво- 
роченные технологии, обмазываю- 
щие АР|-функции несколькими мега- 
байтами кривого кода. Это же сдох- 


Библиотечные функции легко 
опознаются ИДОИЙ и брякаются 
как обычные API. 


Отладчик OllyDbg 
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Диалоговое окно, на которое мы поста- 
вим бряк 


нуть можно! Но мы не будем! Библио- 
течные функции легко опознаются 
ИДОЙ и брякаются как обычные API, 
только с той разницей, что точка ос- 
танова носит локальный характер и 
воздействует лишь на отлаживаемое 
приложение. А это значит, что после 
нажатия <Ctri-D> мы должны переклю- 
чить контекст управления, чтобы по- 
пасть в адресное пространство отла- 
живаемого приложения. Это осущес- 
твляется либо командой "ADDR 
имя_процесса", либо установкой точ- 
ки останова на любую АР!-функцию, 
вызываемую отлаживаемым прило- 
жением. Например SendMessageA. 
Жмем <Ctrl-D>, пишем "bpx 
SendMessageA", выходим из Softlce, 
дожидаемся, пока он всплывет (если 
не всплывает, можно дернуть мышью 
или щелкнуть по отлаживаемому ок- 
ну). Если в правом нижнем углу от- 
ладчика находится имя нашего про- 
цесса - все ОК, в противном случае 
выходим из отладчика и ждем его 
ВСПЛЫТИЯ ОПЯТЬ. 


ТОЧКИ ОСТАНОВА НА 
СООБЩЕНИЯ 

m Допустим, у нас есть окно с нес- 
колькими элементами управления 
(меню, флажок или кнопка), нажатия 
на которые мы хотим отследить (см. 
картинку). Как это сделать? Очень 
просто! Установить точку останова на 
сообщение! В Windows весь интер- 
фейс построен на сообщениях (об 
этом хорошо написал Петзолд в "Прог- 
раммировании gna Windows 95"). 

В частности, при нажатии на элемент 
управления (или при изменении окна 
редактирования) окну посылается со- 
общение WM_COMMAND. Вот на Hero- 
то мы и поставим точку останова. Но 
сначала нам нужно определить деск- 
риптор (handle) окна. 

Это можно сделать либо любым 
\МИпао\/$-шпионом (например Spyxx, 
входящим в состав Microsoft Visual 
Studio), либо средствами самого 
зо се, командой "HWND", выводя- 
щей список всех оконных элементов. 
Если в ответ на "HWND" бо се вы- 
плюнет "Unable to find a desktop win- 
dow", необходимо переключить KOH- 
текст командой "ADDR". 

Самая левая колонка содержит 
дескрипторы оконных элементов, са- 
мая правая - имена модулей, которым 
эти элементы принадлежат. В данном 
случае диалог обрабатывается библио- 


текой OodIrwrs, о чем можно узнать с 
помощью команды MOD. 

Определение дескрипторов окон и 
элементов управления: 


Handle Class WinProc TID Module 

010098 VMDropTargetClass 0403810 138 VMwareUser 
010096 VMDropTargetClass 00403810 138 VMwareUser 
010094 VMDropTargetClass 00403810 138 VMwareUser 
010090 VMDropTargetClass 00403810 138 VMwareUser 
(01001С NDDEAgnt O100BC04 F8 winlogon 

120124 #32770 (Dialog) OOF7BC5E 2BC comctl32 
220132 #32770 (Dialog ООЕТВСБЕ 2BC oodlrwrs 
IFOOFE Button OOF?BC5E 2BC oodlrwrs 

200102 Button OOF7BC5E 2BC oodlrwrs 

1B00FO Button OOF7BC5E 2BC oodlrwrs 

320130 Static OOF?BC5E 2BC oodlrwrs 

210138 Static 77EI9AA4 2BC oodlrwrs 

23016 Static 77EI9AA4 2BC oodlrwrs 

24014C Static T7EI9AA4 2BC oodlrwrs 

TIOOF8 Static OOF7BC5E 2BC oodlrwrs 

20013A Static 77EI9AA4 2BC oodlrwrs 

170122 Static T7EI9AA4 2BC oodlrwrs 


Мы видим, что наши три кнопки при- 
надлежат диалогу #32770 с дескрип- 
тором 220132. В принципе, можно пос- 
тавить точку останова и на 120124 - 
адрес оконной процедуры (WinProc) у 
них одинаков. Говорим "BMSG 220132 
WM_COMMAND" и выходим из Softlce. 
Нажимаем на кнопку "Далее>", и 
(ура!) отладчик послушно всплывает! 
Остается только немного протрасси- 


ровать оконную процедуру в поисках 
кода, обрабатывающего это нажатие. 


ТОЧКИ ОСТАНОВА НА ДАННЫЕ 

m Чаще всего бывает так, что клю- 
чевой срайл или регистрационные 
данные извлекаются в одном месте, а 
обрабатываются совсем в другом. Ус- 
тановив точку останова на 
GetWindowTextA, мы перехватим код, 
считывающий введенный нами реги- 
страционный номер, но как найти то 
место, где он сравнивается с оригина- 
лом? Легко! 

Открываем MSDN, смотрим прототип 
функции GetWindowText. Ага: указа- 
тель на возвращаемую строку нахо- 
дится во втором аргументе слева, зна- 
чит, на момент вызова 
GetWindowTextA он будет распола- 
гаться по адресу ESP + 8 (четыре бай- 
та на hWnd и еще четыре на адрес 
возврата). 

Говорим "bpx GetWindowTextA", вы- 
ходим из отладчика, вводим серийный 
номер в окно редактирования, нажи- 
маем ОК - дебаггер всплывает (ну, бу- 
дем считать, что всплывает, в 
действительности этого может и не 
произойти; все зависит от того, какую 
АР|-функцию использовал програм- 
мист). Даем команду "4 esp->8" (если 
окно дампа отключено, перед этим не- 
обходимо дать команду "wd"), а затем 


Установив точку останова на 
GetWindowTextA, мы перехватим код, 
считывающий введенный нами 
регистрационный номер. 


е адреса, по котором 


"р ret" - в окне появляется введенная 
нами строка. 

Все, что нам нужно - это ее адрес, 
который в данном случае равен 
2F46E0. Логично: чтобы сравнить па- 
роль с оригиналом, защита должна 
считать его из памяти. В этот момент 
она себя и выдаст. Команда "bpm 
2F46E0" установит точку останова на 
адрес 2F46E0, заставляя о се 
всплывать при каждом чтении/записи 
этой ячейки памяти. Звучит прекрас- 
но, но на практике срабатывает дале- 
ко не всегда. Вовсе не cpakT, что пер- 
вое же всплытие отладчика выведет 
нас к защитному коду. Скорее всего, 
здесь будет библиотечная функция, 
копирующая пароль в локальный бу- 
cpep, передаваемый по цепочке gpy- 
гим функциям. И хорошо если по 
ссылке! Часто буфер передается по 
значению, то есть копируется в дру- 
гой буфер целиком. На каждый из та- 
ких буферов приходится ставить точ- 
ку останова, а максимальное количе- 
ство бряков на память равно четырем. 
И это не ограничение отладчика - 
просто у "Пня" такая архитектура. 

Отсюда еще не следует, что точки 
останова на данные бесполезны - они 
сильны совсем в другой области. Вот, 
например, мы выяснили, что в пере- 
менной х содержится Cpnar регистра- 
ции. Каким образом выяснили, не суть 
важно. Допустим, встретили код типа: 
cmp [x],0/jz nag_screen (если перемен- 
ная х равна нулю, вывести ругатель- 
ный диалог). Как определить, где 
именно инициализируется этот х? В 
большинстве случаев перекрестные 
ссылки автоматически восстанавли- 
ваются ИДОЙ, однако разработчик 
защитного механизма может легко ос- 
лепить ее. Но едва ли он справится с 
командой "bpm x"! 

A вот другой вариант: мы изменили 
пару байтиков в программе, а она, об- 
наружив CpakT своего взлома, отказа- 
лась работать. Чтобы найти процеду- 
ру проверки целостности кода, доста- 
точно установить одну или несколько 
точек останова на модифицирован- 
ные ячейки. Да много чего можно 
придумать, главное - фантазию иметь! 


РАСКРУТКА СТЕКА 

и Внешние проявления защитного 
механизма засечь очень легко. Как 
правило, это либо окошко с надписью 
"trial expired", либо форма для ввода 
серийного номера. Установить точку 
останова на WM_COMMAND легко, но 
какая польза от этого? Мы окажемся 
внутри оконной процедуры, в недрах 
которой зарыт защитный код. Можно, 
конечно, и потрассировать, но сколь- 
ко времени уйдет на это! Вот бы уз- 
нать, какие команды исполнялись gO 
этого! Обратить выполнение програм- 
мы вспять и посмотреть, какой имен- 
но код определяет факт регистрации 
программы. Некоторые отладчики 
поддерживают механизм обратной 
трассировки (back trace), запоминая 
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Загрузка экспорта из динамических библиотек 


"Чтобы найти процедуру проверки 
целостности кода, достаточно установить 
одну или несколько точек останова на 
модифицированные ячейки". 


все выполняемые команды и склады- 
вая их в специальный буфер, однако 
это сильно замедляет выполнение 
программы и выводит антиотладоч- 
ные приемы на оперативный простор. 
Мы поступим иначе. бо се поддержи- 
вает шикарную команду STACK, раск- 
ручивающую стек и выводящую адре- 
са всех материнских функций. Не сов- 
сем равноценная замена обратной 
трассировки, но, как правило, ее впол- 
не хватает. 

В нашем случае ответ отладчика 
выглядит так: 


STACK 

0012Е138 77E155B5 oorwiz!.text+O001AC5E 
0012Е168 77EI5A3B USER32!DefWindowProcW+0105 
0012188 77EIFBS2 USER32!SendMessageW+0043 
OOIZEZ14 T7EIE6C3 USER3Z!WINNLSGetIMEHotkey+0El5 
OOI2ZE254 7TEIES61 USER3ZIEditWndProc+0075 
O0IZE278 77EI98DF USER32!ScrollWindow+00% 
OOIZE29C ТТЕЗЕВО USER32'ShowCursor+0057 
OOIZE2BC 77616469 USER32!SetTimer+0435 
OOIZEZEO 77EI64E5 USER32!SetRect+0065 
0012Е300 OOF7AIB6 USER32!CallWindowProcW+0019 
OOIZE320 OOFTA403 oorwiz!.text+000191B6 
O0IZE33C ООЕТВСО oorwiz!.text+00019403 
;_AfxPostlnitDialog 

OOIZE39C OOFTBC92 oorwiz!.text+OO01ACO2 


00 2E3BC ТТЕЗЕВО oorwizl.text+O001AC92 
OOIZE3DC T7EIS9IB USER32!SetTimer+0435 


Десять первых вызовов относятся к 
библиотеке USER32.DLL и He npegc- 
тавляют для нас никакого интереса 
(зо се неправильно определил при- 
надлежность вызова 12E138h, припи- 
сав его к Oorwiz, но Corwiz не может 
располагаться по адресам 77Е155В5 - 
эта зона принадлежит USER32). А вот 
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одиннадцатый вызов 12E320, Begy- 
щий к адресу F7A403, весьма интере- 
сен. Заглянув сюда дизассемблером, 
мы обнаружим следующий код: 


text1001A3E6 call dword ptr [eax+10Ch] 
text1001A3EC — test eax, eax 

text1001A3EE — jnz short loc 10014406 

text1001A3F0 — push [ebp+arg_8] 

text1001A3F3 — mov eax, [esi] 

text1001A3F5 push [ebp+arg_4] 

text:1001A3F8 — mov есх, esi 

text]001A3FA — push [ebp+arq_0] 

text1001A3FD — са| dword ptr [eax+110h] 
text1001A403 — том [ebp+var_4], eax ; адрес возврата 


text:10014406 — loc 10014406: 

; CODE XREF: CWnd::WindowProc() 
text:10014406 — mov eax, [ebp+var_4] 

text10014409 pop esi 

text1001M40A — leave 

text:1001A40B ~—retn ОСА 


Вызов сфункции Call dword ptr 
[еах+ПОГ] - тот самый, к которому Be- 
дет адрес возврата. Именно он выво- 
дит противный регистрационный диа- 
лог. Прокручивая экран дизассембле- 
ра вверх, легко найти условный пере- 
ход, расположенный по адресу 
1ОТАЕЕ, который прыгает за диалог 
возврата. Изменив jnz на jmp short, 
мы навсегда уберем диалог с экрана. 
Конечно, такая мера еще не зарегист- 
рирует программу, но это уже кое-что! 


ОТЛАДКА ДИНАМИЧЕСКИХ 
БИБЛИОТЕК 

m Loader32 (символьный загрузчик 
о се) как будто позволяет загру- 
жать динамические библиотеки, но 
отлаживать их в автономном режиме 


не дает, что, собственного говоря, и 
не удивительно: всякая такая библио- 
Teka - просто набор срункций, вызыва- 
емых из основного процесса. Возьмем 
библиотеку oorwiz.dll, экспортирую- 
щую тройку функций с заманчивыми 
именами: RegWiz_InitReadOnly, 
RegWiz_InitTrial, RegWiz_InitLicMgr. 
Как отладить их? 

Заходим в Loader32, выбираем пункт 
File->Load Export, указываем имя биб- 
лиотеки (oorwiz.dll). В списке Loader 
Symbols немедленно появляется но- 
вое имя. Теперь загружаем основной 
исполняемый сфайл (в данном случае 
oodled.exe) и устанавливаем точки ос- 
танова на интересующие нас функ- 
ции ("bpx RegWiz_InitReadOnly", "bpx 
RegWiz_InitTrial", "bpx 
RegWiz_InitLicMgr"), заставляя отлад- 
чик всплывать при их вызове. 

Поскольку динамические библиоте- 
ки перемещаемы, адреса в дизассемб- 
лере могут не совпадать с отладчи- 
ком. Вот, например, в oorwiz.dll IDA on- 
ределяет адрес функции 
RegWiz_InitTrial как 100ОТРООВ, а 
Softlce - kak F60000. Ну и как с этим 
жить? А вот как: базовый адрес заг- 
рузки (Imagebase) равен 100000001, 
в чем IDA честно признается в начале 
файла. Но загрузить библиотеку по 
этому адресу не получается, и опера- 
ционная система перемещает ее по 
адресу хххх, о чем говорит команда 
"MOD" в 50 се: 

Просмотр базовых адресов загрузки 
командой МОП: 


‘mod 
fMod Base ModuleName File Name 


80400000 804000C8 ntoskrnl 
\WINNT\System32\ntoskral.exe 


00400000 00400108 oodled 

\Program Files\00 Software\DriveLED2\oodled 
00F30000 00F300B8 oodlrwrs \ 

\Program Files\00 Software\DriveLED2\oodIrwrs 
00F60000 OOF600F8 oorwiz 

\Program Files\00 Software\DriveLED2\oorwiz 
10000000 100000C0 oodledrs 

\Program Files\00 Software\DriveLED2\oodledrs 


Разница базовых адресов составля- 
ет 10001000-Е60000 == FOAI000, поэ- 
тому, чтобы перевести адрес из от- 
ладчика в дизассемблер, к нему необ- 
ходимо добавить ГОАТОО0, а из дизас- 
семблера в отладчик - отнять. 


ЗАКЛЮЧЕНИЕ 

m Отладчик - это сложный 
инструмент, и за один день его не 
освоить. Исследование машинных 
кодов - настоящее искусство, кото- 
рому учатся всю жизнь. Так что не 
нужно огорчаться, если что-то не по- 
Лучается. Чем хитрее защита и чем 
труднее взлом, тем больше удовлет- 
ворения она приносит в конечном 
итоге! Кто-то сравнил это чувство с 
экстазом. Ничего подобного! Хакер- 
ство намного круче! 
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Экспозиция "ИНФОКОМ" Экспозиция "ИНФОКОМ MPO" ориентирована на 
На аанной экспозиции будут специапистов в обпасти информатизации и связи 
преаставаены успуги, интересные og (B2B) и преапопагает спеаующие направаения: 
широкому спою насепения (В2С): q 


— Bluetooth 
— Ycayrn MMS, GPRS 


— Успуги аоступа в Интернет 
— Wi-Fi 
— Мупьтимеаийные ycayrn на базе 


Интернета ~ Ay 


— Успуги спутникового, кабепьного и 
наземного тепевиаения 


— Интерактивные успуги в сетях 
поавижной связи 


— Мобильный Internet h 4 
— Яомашние сети 

— Успуги тепемеаицины [| | 
— Виаеоконференоасвязь | 4 


— Успуги местной, межаугороаной и 
межаунароаной связи 


— Тепефонные аппараты 
— Мупьтимеаиа-продукты 
— Аксессуары 


\\ 
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АНАТОМИЯ ФАЙЛА ) 


Иван Скляров (www.sklyaroff.com) 


ФАЙЛА 


АНАТОМИЯ 


олного описания PE- 


формата не существу- 


ет в природе. Есть мно- 


жество материалов в 


М$ОМ, есть отдельные 
статьи исследователей (например 
несколько статей от Мэтта Питтрека, 
которые присутствуют и в MSDN), но 
все это содержит недомолвки, неточ- 


ПРОСТО, НО СО ВКУСОМ О РЕ-ФОРМАТЕ ФАЙЛОВ 


оны 
(MADE DOS HEADER) 


DRANSO ued LAND ес 
\IMAGE FILE HEADER) 


кая-нибудь отладочная информация, 
но это носит необязательный харак- 
тер. 


ЗАГОЛОВОК 00$ 
= В файле winnt.h DOS-3aronoBok 
описан следующей структурой: 


typedef struct 1МАСЕ 00$ HEADER { // DOS ЕХЕ заголовок 


ности, ошибки. Впрочем, и эта статья Cnr ree поеплежеи USHORT e.magic; — // Магическое число 

никак не претендует Ha полное описа- ОМЫЗЕ ОРТО. HEADER) USHORT ecblp; — [Г Количество байт на последней 

ние и организует лишь BBOGHOe зна- |/ странице файла 

комство с РЕ-форматом. USHORT е ср; // Количество страниц в файле 
Все структуры, макросы и сигнатуры USHORT е спс; [/ Relocations 


РЕ-формата содержатся в заголовоч- 
ном файле winnt.h, на него и буду 


(MAGE ЗЕСТКУЧ НЕАОЕЯ) 


USHORT e.cparhdr,  //Размер заголовка в параграфах 
USHORT е minalloc; // Minimum extra paragraphs 


опираться в дальнейшем. Увы, этот |/ needed 
файл довольно скудно откомментиро- USHORT е maxalloc; // Maximum extra paragraphs 
ван, так что о назначении некоторых |/ needed 
полей можно лишь догадываться. USHORT е 55; [/ Начальное (относительное) 
Е | // значение регистра SS 

ОБЩЕЕ УСТРОЙСТВО PE- - - USHORT е sp; // Начальное значение регистра SP 
ФАЙЛА USHORT е сзит; — [Контрольная сумма 

и В самом общем случае РЕ-сфайл USHORT е ip; // Начальное значение регистра IP 
состоит из четырех частей, которые ©. 205-заголовок USHORT e_cs; // Начальное (относительное) 


идут в следующем порядке, начиная с (IMAGE_DOS_HEADER); // значение регистра CS 
нулевого адреса: @ РЕ-заголовок (IMAGE_NT_HEADERS), USHORT е На. — // Agpec в файле на таблицу 
©. Таблица секций (IMAGE_SEC- |/ переадресации 
TION_HEADER); USHORT е оупо;  //Количество оверлеев 


НЫ G8 ее ре в 


af 
] 


| 
| 


например ка- 


Пр 


I a do ie фич oan 


Ф. секции. USHORT е res[4]; //Зарезервировано 
USHORT е оетиё; ГГ OEM identifier (for e_oeminfo) 

В самом USHORT e.oeminfo; // OEM information; е oemid specific 
конце PE- USHORT eres2[10]; // Зарезервировано 
файла за LONG е Напеи;  / Адрес в файле 
секциями [/ нового ехе-заголовка 
вполне могут } IMAGE_DOS HEADER, *PIMAGE_DOS HEADER; 
размещаться 
дополнитель- Самым важным здесь является поле 
ные данные, e_lfanew, которое содержит 4-байто- 


вое смещение от начала сфайла go PE- 


Е 1 
Тим | 


файла с помощью утилиты PE Tools 


Культовые статьи Мэтта Питтрека в MSDN. В интернете можно найти их перевод на 
русский язык 
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заголовка. Первое поле структуры 
e_magic содержит сигнатуру исполня- 
емого срайла. Все М$-ОО5-совмести- 
мые исполняемые срайлы имеют сиг- 
натуру Ox54AD, которая в ASCIl-cum- 
волах представлена двумя символами 
MZ. По этой причине заголовок DOS 
часто называют М7-заголовком. 


РЕ-ЗАГОЛОВОК 

и Формат РЕ-заголовка представ- 
лен структурой IMAGE_NT_HEADERS, 
которая в 32-разрядных системах со- 
ответствует структуре 
IMAGE_NT_HEADERS32: 


typedef struct IMAGE_NT_HEADERS { 
DWORD Signature; 
IMAGE_FILE_HEADER FileHeader; 
IMAGE_OPTIONAL HEADER32 OptionalHeader; 

} IMAGE_NT_HEADERS32, *PIMAGE_NT HEADERS32; 


Как видно, структура состоит из трех 
частей. Первая часть - это сигнатура, 
которая для РЕ-файла равна 
0x00004550 или, в ASCIIl-cumBonax, 
"РЕОО". Кстати, именно из-за этой сиг- 
натуры исполняемый файл Windows и 
называют РЕ-файлом. Вторая часть - 
это файловый заголовок (FileHeader), 
а третья часть - опциональный заго- 
ловок (OptionalHeader). Рассмотрим 
отдельно оба заголовка. 


ФАЙЛОВЫЙ ЗАГОЛОВОК 
и Файловый заголовок в winnt.h 
описан такой структурой: 


typedef struct IMAGE_FILE_HEADER { 
WORD Machine; 
WORD NumberOfSections; 
DWORD TimeDateStamp; 
DWORD PointerToSymbolTable; 
DWORD Number0fSymbols; 
WORD — SizeOfOptionalHeader; 
WORD Characteristics; 
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER; 


Hdefine IMAGE_SIZEOF_FILE HEADER 20 


Kak видишь, размер заголовка для 
удобства также определен в сайле 
заголовков (значение 20). Первое по- 
ne, Machine, используется для иденти- 
фикации типа процессора, для кото- 
рого скомпилирован исполняемый 
файл: Alpha, MIPS, Intel и gp. Поле 
NumberOfSections содержит количест- 
во секций в файле, или, точнее - коли- 
чество заголовков секций и количест- 
во тел секций, имеющихся в исполни- 
MOM РЕ-файле. Это поле занимает од- 
но слово, поэтому максимальное чис- 
ло секций в файле составляет 65536. 
В третьем none, TimeDateStamp, запи- 


Просмотр значений полей файлового 
заголовка с помощью PE Tools 


сано число секунд, которые прошли с 
момента 16-ти часов 1969 года go мо- 
мента создания сфайла. В none 
PointerToSymbolTable содержится 
смещение таблицы символов, о кото- 
рой будет рассказано ниже, а в поле 
NumberOfSymbols указано количест- 
во символов в таблице символов от- 
ладочной информации. 
SizeOfOptionalHeader хранит размер 
опционального заголовка. И nocneg- 
нее none, Characteristics, содержит 
специфические характеристики сфай- 
ла, например, 
IMAGE_FILE_DEBUG_STRIPPED указы- 
вает на то, что из файла была удале- 
на отладочная информация, а 
IMAGE_FILE_DLL говорит о том, что 
файл является DLL, а не исполняе- 
мым файлом. Все характеристики с 
комментариями можно увидеть в фай- 
ле winnt.h сразу после описания сфай- 
лового заголовка. 


ОПЦИОНАЛЬНЫЙ ЗАГОЛОВОК 
ш Теперь перейдем к опционально- 

му заголовку. Вот его описание из за- 

головочного файла winnt.h: 


typedef struct IMAGE OPTIONAL HEADER { 


/| 
// Standard fields, 


WORD Magic; 

BYTE MajorLinkerVersion; 
BYTE MinorLinkerVersion; 
DWORD SizeOfCode; 

DWORD SizeOflnitializedData; 
DWORD SizeOfUninitializedData: 
DWORD AddressOfEntryPoint; 
DWORD BaseOfCode: 

DWORD BaseOfData; 


|/ 
/ NT additional fields. 
|/ 


DWORD ImageBase; 

DWORD SectionAlignment; 

DWORD FileAlignment; 

WORD  MajorOperatingSystemVersion; 
WORD  MinorOperatingSystemVersion; 
WORD MajorlmageVersion; 

WORD MinorlmageVersion; 

WORD  MajorSubsystemVersion; 
WORD MinorSubsystemVersion; 
DWORD Win32VersionValue; 

DWORD SizeOflmage; 


ety 
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Просмотр значений полей опционально- 
го заголовка с помощью PE Tools 


DWORD SizeOfHeaders; 

DWORD CheckSum; 

WORD Subsystem; 

WORD  DilCharacteristics; 

DWORD SizeOfStackReserve; 

DWORD SizeOfStackCommit: 

DWORD SizeOfHeapReserve: 

DWORD SizeOfHeapCommit: 

DWORD LoaderFlags; 

DWORD NumberOfRvaAndSizes; 

IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUM- 
BEROF_DIRECTORY_ENTRIES]; 
} IMAGE_OPTIONAL HEADER32, *PIMAGE OPTIONAL HEAD- 
ER32; 


A сейчас жизненно важное замеча- 
ние: структура условно поделена на 
"стандартные поля" и "дополнитель- 
ные поля МТ". Стандартные поля при- 
сутствовали в формате файлов COFF, 
который положен в основу сформата 
РЕ. Но, несмотря на то, что стандарт- 
ные поля имеют такие же названия, 
как определено в COFF, в действи- 
тельности Windows использует неко- 
торые из них для целей, совершенно 
противоположных предписанным 
COFF. 

Поле Magic He используется совсем. 
В полях MajorLinkerVersion и 
MinorLinkerVersion записана соответ- 
ственно старшая и младшая часть но- 
мера версии линкера, который был ис- 
пользован при создании файла. 

SizeOfCode - размер исполняемого 
кода, округленный к верхней границе. 

SizeOflinitializedData - размер инициа- 
лизированных данных. 

SizeOfUninitializedData - размер неи- 
нициализированных данных (BSS). 

AddressOfEntryPoint - одно из самых 
интересных полей для крэкера: отно- 
сительный виртуальный адрес (RVA - 
Relative Virtual Address) точки входа в 
программу. Многие поля в РЕ-файле 
задаются с помощью К\/А. RVA - это 
смещение в памяти по отношению к 
базовому адресу ImageBase (о нем ни- 
же). Чтобы получить линейный адрес, 
необходимо сложить RVA и 
ImageBase. 

BaseOfCode - относительное смеще- 
ние сегмента кода (.text) в загружен- 
HOM cpamne. 

BaseOfData - относительное смеще- 
ние сегмента неинициализированных 
данных (.6$$) в загруженном файле. 

ImageBase - базовый адрес, начиная 
с которого в память будет отображен 
образ исполняемого файла. Обычно 
по умолчанию он равен 4000000, og- 
нако это значение не постоянно и мо- 
жет изменяться. 

SectionAlignment - граница выравни- 
вания секций в памяти. 

FileAlignment - граница выравнива- 
ния секций в файле на диске, то есть 
go загрузки в память. 

MajorOperatingSystemVersion и 
MinorOperatingSystemVersion - стар- 
шая и младшая часть номера самой 
старой версии операционной системы, 
которая позволяет запускать данный 
файл. 
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MajorlmageVersion и 
MinorlmageVersion - старшая и млад- 
шая часть номера версии файла. 

MajorSubsystemVersion и 
MinorSubsystemVersion - старшая и 
младшая часть номера версии Win32- 
подсистемы. 

Win32VersionValue - один из пара- 
метров, назначение которого никому 
не известно. 

SizeOflmage - общий размер файла, 
загруженного в память от базового 
адреса загрузки (ImageBase) go agpe- 
са конца последней секции. Значение 
этого поля должно быть кратно зна- 
чению SectionAlignment. 

SizeOfHeaders - содержит суммар- 
ный размер места, занимаемого всеми 
заголовками срайла, включая заголо- 
Bok MS-DOS и размер таблицы секций. 

CheckSum - контрольная сумма, ис- 
пользуемая для проверки целостнос- 
ти исполняемого файла во время заг- 
рузки. Это поле устанавливается и 
проверяется линковщиком. 

Subsystem - подсистема, использу- 
емая файлом в качестве интерфей- 
са с пользователем. Например, 
IMAGE_SUBSYSTEM_WINDOWS_GUI 
гласит, что программа использует 
графический пользовательский ин- 
терфейс Windows. Значения всех 
возможных подсистем содержатся в 
файле заголовков winnt.h после 
описания структуры опционального 
заголовка. 

DilCharacteristics - характеристики 
DLL, также описанные в winnt.h. 

SizeOfStackReserve, 
SizeOfStackCommit, 
SizeOfHeapReserve, 
SizeOfHeapCommit - эти поля опреде- 
ляют объем адресного пространства, 
зарезервированного и выделенного 
для стека и кучи. По умолчанию и для 
стека, и для кучи зарезервировано 16 
страниц, на что указывает запись в 
winnt.h: 


Hdefine IMAGE NUMBEROF DIRECTORY ENTRIES 16 


LoaderFlags - в настоящее время не 
используется. 

NumberOfRvaAndSizes - содержит 
размер массива DataDirectory, pacno- 
ложенного далее. 

DataDirectory - массив указателей на 
различные важные компоненты РЕ- 
файла. Элементами этого массива яв- 
ляются структуры типа 
IMAGE_DATA_DIRECTORY: 


typedef struct IMAGE DATA DIRECTORY { 
DWORD VirtualAddress; 
DWORD Size; 
} IMAGE DATA DIRECTORY, *PIMAGE_DATA DIRECTORY; 


Каждая из этих структур содержит 
виртуальный адрес определенной 
таблицы и размер этой таблицы. Ин- 
формация о таблицах всегда распола- 
гается в строгом порядке, например, 
информация о таблице ресурсов 
(IMAGE_DIRECTORY_ENTRY_RESOURCE) 
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всегда идет вторым номером (если Ha- 
чинать отсчет с нуля). 


ТАБЛИЦА СЕКЦИЙ 

и Таблица секций - это заголовки 
секций, в которых описано их разме- 
щение на диске и в памяти. Все заго- 
ловки секции имеют длину 40 байт и 
располагаются без выравнивания. За- 
головок секции определяется следую- 
щей структурой: 


typedef struct IMAGE SECTION HEADER { 
BYTE Name[IMAGE,SIZEOF SHORT МАМЕ]: 
union { 
DWORD PhysicalAddress; 
DWORD VirtualSize; 
} Misc; 
DWORD VirtualAddress; 
DWORD SizeOfRawData; 
DWORD PointerToRawData; 
DWORD PointerToRelocations; 
DWORD PointerToLinenumbers; 
WORD NumberOfRelocations: 
WORD NumberOflinenumbers; 
DWORD Characteristics; 
} IMAGE SECTION HEADER, *PIMAGE SECTION HEADER; 


Hdefine IMAGE_SIZEOF_SECTION HEADER 40 


/* Name[IMAGE,SIZEOF SHORT МАМЕ] - имя секции. 
В файле winnt.h указано, что длина секции должна 
быть не больше восьми символов: */ 


Hdefine IMAGE_SIZEOF_SHORT_NAME 8 


Misc - объединение (union), которое 
принимает значение PhysicalAddress, 
если файл является объектным, или 
VirtualSize, если файл является ис- 
полняемым. В исполняемом срайле 
это поле содержит неокругленный 
размер раздела. 

VirtualAddress - смещение, по кото- 
рому загрузчик должен отобразить 
секцию в адресном пространстве про- 
цесса. Оно вычисляется относительно 
базового адреса загрузки 
(ImageBase). 

SizeOfRawData - размер секции, ок- 
ругленный в большую сторону go 
значения FileAlignment. 
PointerToRelocations, 
PointerToLinenumbers, 
NumberOfRelocations, 
NumberOfLinenumbers - эти поля He 
используются и обычно устанавлива- 
ЮТСЯ В НОЛЬ. 


Characteristics - характеристики сек- 
ции, которые описаны в файле 
winnt.h. Из них я выбрал основные и 
привел их в отдельной таблице. 


СЕКЦИИ 

и За всеми заголовками в файле 
следуют тела секций. В Microsoft ис- 
торически сложились такие устойчи- 
вые названия секций: "{ех{", ".65$", 
"data", ".rdata", ".edata", ".idata", 
"rsrc", ".debug" и некоторые другие. 
Однако совсем не обязательно, что- 
бы секции имели такие названия. 
Например, компиляторы от фирмы 
Inprise (бывшая Borland) присваива- 
ют секциям имена вида CODE, DATA 
и т.п. Кроме того, программист может 
создавать дополнительные секции 
со своими названиями. Наличие точ- 
ки в начале секции также необяза- 
тельно. Секции расположены вплот- 
ную друг к другу без промежутков, 
но это совсем не значит, что в самих 
секциях не бывает пустых мест. Каж- 
дая стандартная секция имеет опре- 
деленное назначение, например: 

ш "text" распложен код программы; 

g ".655" размещаются неинициали- 
зированные данные; 

ш ".data" - инициализированные 
данные; 

ш ".edata" - функции, экспортируе- 
мые файлом; 

и "idata" - таблицы импортируемых 
функций; 

g "src" - ресурсы; 

В сегменте ".rdata" - данные только 
для чтения (строки, константы, ин- 
формация отладочного каталога). 


Но это назначение секций не стро- 
roe, например, ".text" вполне может 
быть начинен обычными данными, а 
также экспортируемыми функциями. 
Некоторые секции имеют особый 
формат, сейчас внимание сосредото- 
чу на них. 


СЕКЦИЯ ЭКСПОРТА (.EDATA) 

ш В секции .edata представлен пере- 
чень функций и данных, которые РЕ- 
файл экспортирует для использова- 
ния сторонними модулями. Сегмент 
экспорта стандартно состоит из следу- 
ющих частей: 
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Таблица с некоторыми характеристиками секций (Characteristics) из файла winnt.h 


Просмотр информации секций реального 
файла. Заметно, что присутствуют две 
нестандартных секции .ivani и .ivan2 


@. Оглавление; 

@. Таблица указателей на экспорти- 
руемые имена; 

@. Таблица порядковых номеров 
сункций; 

@. Таблица экспортируемых имен. 


Оглавление представлено вот такой 
структурой: 


typedef struct _IMAGE_EXPORT DIRECTORY { 

DWORD Characteristics; 

DWORD TimeDateStamp; 

WORD MajorVersion; 

WORD  MinorVersion; 

DWORD Name; 

DWORD Base: 

DWORD NumberOfFunctions; 

DWORD NumberOfNames; 

DWORD AddressOfFunctions; // КУА from base of image 
DWORD AddressOfNames; — // RVA from base of image 
DWORD AddressOfNameOrdinals; // АМА from base of image 
} IMAGE_EXPORT DIRECTORY, *PIMAGE EXPORT DIRECTORY: 


Characteristics - в настоящее время 
не используется. 

TimeDateStamp - время создания 
таблицы экспорта. 

MajorVersion и MinorVersion - стар- 
ший и младший номер версии сайла. 

Name - имя файла. 

Base - начальный порядковый номер 
для экспортируемых функций 
(обычно 1). 

NumberOfFunctions и 
NumberOfNames - содержат количест- 
во функций и имен сфункций, экспор- 
тируемых из файла. 

AddressOfFunctions - относительный 
виртуальный адрес (RVA) на таблицу 
указателей экспортируемых функций. 

AddressOfNames - это относитель- 
ный виртуальный адрес (RVA) на таб- 
лицу экспортируемых имен. 

AddressOfNameOrdinals - это относи- 
тельный виртуальный адрес (RVA) на 
таблицу порядковых номеров сфунк- 
uni. 

Все три таблицы связаны между CO- 
бой особым образом. 


* Tk ит Зо 


Устройство секций импорта (рисунок из статьи Мэтта Питтрека "Peering Inside the PE: 
A Tour of the Win32 Portable Executable File Format") 


СЕКЦИЯ ИМПОРТА (.IDATA) 

m Секция импорта содержит инфор- 
мацию о функциях и данных, которые 
файл импортирует из библиотек DLL. 
Секция .idata состоит из последова- 
тельности таблиц импорта, каждая из 
которых представлена структурой 
IMAGE_IMPORT_DESCRIPTOR. Каждая 
такая структура соответствует одной 
DLL, из которой программа импорти- 
рует функции. Последняя структура в 
последовательности имеет нулевые 
поля. Вот формат этой структуры из 
файла winnt.h: 


typedef struct IMAGE _IMPORT_DESCRIPTOR { 
union { 
DWORD Characteristics; // 0 for terminating null 
// import descriptor 
DWORD OriginalFirstThunk; // RVA to original 
// unbound IAT (PIMAGE THUNK DATA) 


Имена секций РЕ-файла можно также увидеть простым просмотром (<F3>) в Far 


} 
DWORD TimeDateStamp; // 0 if not bound, 
// if bound, and real date\time stamp 


|| ш MAGE_DIRECTORY ENTRY BOUND IMPORT (new BIND) 
// 0.W. date/time stamp of DLL bound to (019 BIND) 


DWORD ForwarderChain; // -1 if no forwarders 
DWORD Name; 
DWORD FirstThunk: // RVA to IAT (if bound this IAT has 
// actual addresses) 
} IMAGE IMPORT DESCRIPTOR; 
typedef IMAGE_IMPORT DESCRIPTOR UNALIGNED 
*PIMAGE IMPORT DESCRIPTOR; 


Первое none является объединени- 
ем (union) и принимает такие значе- 
ния: либо O (Characteristics), если 
структура является последней в пос- 
ледовательности, либо указатель 
(OriginalFirstThunk) на последователь- 
ность структур типа 
IMAGE_THUNK_DATA (0 ней читай 
ниже). 

TimeDateStamp - время создания 
файла, из которого импортируются 
функции (чаще всего имеет нулевое 
значение). 

ForwarderChain - переадресация к 
другой DLL, если возникает такая не- 
обходимость. 

Мате - имя библиотеки, которой со- 
ответствует текущая структура 
IMAGE_IMPORT_DESCRIPTOR. 
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FirstThunk - еще один указатель на 
структуру типа IMAGE_THUNK_DATA. 
Hinclude "poppack.h" // Back to 4 byte packing 
typedef struct IMAGE_THUNK DATA32 { 

union { 

PBYTE ForwarderString; 

PDWORD Function; 

DWORD Ordinal; 
PIMAGE_IMPORT_BY NAME AddressOfData; 

dul 
} IMAGE_THUNK_DATA32; 
typedef IMAGE THUNK DATA32 * PIMAGE THUNK DATA32: 


Как видно, структура 
IMAGE_THUNK_DATA содержит в себе 
объединение. Если срункция импорти- 
руется по порядковому номеру, зна- 
чение объединения расценивается 
как Ordinal. Если функция импортиру- 
ется по имени, объединение интерп- 
ретируется как указатель на структу- 
ру типа IMAGE_IMPORT_BY_NAME 
(AddressOfData). Эта структура в cpai- 
ле winnt.h описана следующим 
образом: 


typedef struct 1МАСЕ IMPORT BY МАМЕ { 
WORD Hint; 
BYTE Мате[]; 
} IMAGE_IMPORT_BY NAME, *PIMAGE IMPORT BY NAME: 


Здесь none Hint является подсказ- 
кой, облегчающей поиск указателя на 
функцию. 

Name - указатель на строку с име- 
нем импортируемой сфункции. 


СЕГМЕНТ РЕСУРСОВ (.RSRC) 

m Ресурсы имеют довольно слож- 
ную иерархическую структуру. В нача- 
ле секции ресурсов расположено ог- 
лавление, которое представлено вот 
такой структурой: 


typedef struct IMAGE RESOURCE DIRECTORY { 
DWORD Characteristics; 
DWORD TimeDateStamp; 
WORD MajorVersion; 


WORD  MinorVersion; 

WORD NumberOfNamedEntries; 
WORD NumberOfldEntries; 

[| IMAGE_RESOURCE_DIRECTORY_ENTRY 
DirectoryEntries{]; 

} IMAGE_RESOURCE DIRECTORY, 
*PIMAGE RESOURCE DIRECTORY; 


Здесь интересны только два поля: 
NumberOfNamedcEntries и 
NumberOfldEntries, которые показыва- 
ют число ресурсов, идентифицируе- 
мых по имени, и число ресурсов, иден- 
тифицируемых по номеру. Сразу за 
оглавлением расположена таблица 
ресурсов, каждая строка которой 
представлена структурой: 


typedef struct IMAGE RESOURCE_DIRECTORY_ENTRY { 
union { 
struct { 
DWORD NameOffset:31; 
DWORD NamelsString:1; 
i 
DWORD Name; 
WORD 19; 
р 
union { 
DWORD OffsetToData; 
struct { 
DWORD OffsetToDirectory:31; 
DWORD DatalsDirectory:1: 
| 


} 
} IMAGE RESOURCE DIRECTORY ЕМТВУ, 
*PIMAGE RESOURCE DIRECTORY ENTRY: 


Видно, что каждая строка таблицы 
состоит из двух объединений. Пер- 
вое из них определяет, как иденти- 
фицируется ресурс: по имени или по 
номеру. Если старший бит первого 
объединения установлен в единицу, 
то ресурс идентифицируется по име- 
ни. Если в О - то по ID. Поле 
OffsetToData всегда используется 
для указания на потомка либо в вет- 
ви дерева, либо в конечном узле. Ес- 
ли первый бит второго объединения 
установлен в единицу, то 
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OffsetToData указывает на потомка в 
ветви дерева. Если в 0, то на конеч- 
ный узел. Конечные узлы - это низ- 
шие узлы в дереве ресурсов, кото- 
рые определяют размер и местопо- 
ложение непосредственно данных 
ресурса. Каждый конечный узел 
представляет собой структуру 
IMAGE_RESOURCE_DATA_ENTRY: 


typedef struct IMAGE RESOURCE_DATA ENTRY { 
ULONG OffsetToData; 
ULONG Size; 
ULONG CodePage; 
ULONG Reserved: 
} IMAGE_RESOURCE_DATA ENTRY, 
*PIMAGE_RESOURCE_DATA ENTRY; 


OffsetToData и Size указывают мес- 
тоположение и размер непосред- 
ственно данных ресурса. CodePage - 
номер кодовой страницы, которая 
должна использоваться при декоди- 
ровании данных. Последнее поле в 
структуре зарезервировано. 

На рисунке можно увидеть пример- 
ную иерархию ресурсов в файле, а 
за рассматриванием рисунка нужно 
запомнить, что данные каждого от- 
дельного ресурса (меню, диалоги, 
ИКОНКИ, КНОПКИ И Т.0.), на которые 
указывает OffsetToData конечного 
узла, также могут иметь собственную 
особую структуру. 


Стандартные идентификаторы ре- 
сурсов можно найти в заголовочном 
файле winuser.h: 


lia 


* Предопределенные типы ресурсов 
*/ 


Hidefine RT_CURSOR MAKEINTRESOURCE(1) 
Hdefine RT_BITMAP MAKEINTRESOURCE(2) 
fidefine RT_ICON MAKEINTRESOURCE(3) 
fidefine RT_MENU MAKEINTRESOURCE(4) 
fidefine RT_DIALOG MAKEINTRESOURCE(5) 
Hdefine RT_STRING MAKEINTRESOURCE(6) 
Hdefine RT_FONTDIR MAKEINTRESOURCE(7) 
define RT_FONT MAKEINTRESOURCE(8) 
fidefine RT_ACCELERATOR — MAKEINTRESOURCE(9) 
fidefine RT_RCDATA MAKEINTRESOURCE(10) 
fidefine RT_MESSAGETABLE — MAKEINTRESOURCE({) 


РЕЗЮМЕ 

m Я рассказал не обо всех сущест- 
вующих полях РЕ-формата, но даже 
моя статья демонстрирует то, какую 
громоздкую структуру имеет этот 
формат. Если кто-то возьмется опи- 
сывать сорматы всех известных ре- 
сурсов, то, вполне может быть, пос- 
вятит этому целую книгу! 

Существует множество утилит для 
просмотра и редактирования полей 
РЕ-файла. PE Tools от отечественных 
разработчиков не знает равных себе 
по мощности в этой области. На не- 
которых скриншотах к этой статье 
значения полей заголовков и секций 
реального РЕ-файла показаны имен- 
но благодаря PE Tools. SE 
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«СНЯТИЕ» УПАКОВЩИКОВ ПРИЛОЖЕНИЙ 


С 


ля человека, вставшего на путь исследования программ и их защит, 
Д первым барьером к вкусному сердцу кода станет упаковщик исполняемых 
файлов. Что это такое и как обойти его, я и расскажу в этой статье. 


ве 


РАЗВЕДКА БОЕМ 


56 Крутой протектор - 


Начнем, как обычно, с на- 


не беда 


Технологии взлома сложных 


чала и продолжим до конца :). 


программных защит 


А сначала опишу принцип ра- 


62 Упакуем за раз! 
Обзор упаковщиков 


66 Портативный взлом 
Ломаем КПК Ha Windows Mobile 


боты упаковщиков и его об- 
щие особенности. Упаковщик - программа 
для сжатия исполняемого срайла, которая от- 
личается от архиватора лишь тем, что добав- 
ляет код распаковщика в тело программы. 
При запуске управление передается этому 
коду вплоть gO полной распаковки програм- 
мы в память. Определение грубое, но, как ни 
крути, общий смысл выразил. Задача крэке- 
ра - слить дамп памяти (не пугайся слов - 
еще успею объяснить их) распакованной 
программы, а затем, конечно, восстановить 
импорт, но все по порядку. Итак, поехали. 

Как ты, наверное, уже предполагаешь, а 
может быть, давно знаешь, существует мно- 
жество различных пакеров. Естественно, 
способы распаковки у каждого особенные. 
Сначала нам предстоит разведка, то есть оп- 
ределение упаковщика, которым сжата прог- 
рамма. Хочу сразу отметить, что это не столь 
важная деталь, как может показаться. 
Действительно, когда распакуешь вручную 
парочку пакеров, тебе уже будет безразлич- 
но то, как называется пакер, ранее бывший 
неизвестным gna тебя. Принцип их действия, 
по сути, одинаков: если узнал, как работает 
один, значит, ты понял, как работают все. 
Распознавание языка, на котором написана 
программа, также то, каким упаковщиком она 
ужата, осуществляется сигнатурным спосо- 
бом, который так полюбился нашим антиви- 
русным конторам. На эту тему существуют 
замечательные статьи Alex'a на не менее за- 
мечательном портале cracklab.ru. Конечно, 
если ты сейчас с интересом читаешь эту 
статью, значит, ты еще многого не знаешь, и 
специально для новичков изобретена отлич- 
ная в своем роде программа-распознаватель 
PEID, которая не только покажет, чем упако- 
ван наш сфайл, но и расскажет еще много ин- 
тересного о жертве. 

Обзор всех инструментах, необходимых ре- 
версеру, также есть в этом номере, поэтому 
время поговорить о программах еще будет. А 
сейчас мы окунемся в прошлое и предадим- 
ся классике. Внимание! Распаковываем блок- 
нот, упакованный UPX. И что бы там нам ни 
говорили, что якобы веселее распаковывать 
FSG, блокнот и UXP - это классика, от которой 
никуда не деться. И наш урок начнется имен- 
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но с нахождения Оригинальной точки входа 
в сжатую программу. 

Для общего разъяснения скажу, что после 
запуска программы с физического носителя 
операционная система проецирует образ 
программы в оперативную память (точнее, в 
определенное адресное пространство памя- 
ти). В этом случае сам код располагается в 
памяти с началом по адресу так называемого 
значения Image base (то есть Image Base - ag- 
рес в памяти, начиная с которого идет код 
программы). Однако начало проекции совсем 
не означает начало исполняемого кода. И 
вот уже в проекции существует Точка входа 
(ЕР - Entry Point) B программу - то место, отку- 
да начинается выполнение исходника. Пос- 
кольку я уже упоминал, что упаковщик go- 
бавляет свой код в тело программы, то на 
сцене появляется понятие Оригинальная то- 
ка входа. Как уже можно было догадаться, 
это точка входа в изначальную программу, 
если бы она не была запакована. Естествен- 
но, нам необходимо найти это место, снять 
дамп памяти (dump - снимок/образ памяти) 
исходной программы и сохранить его на 
диск. Мне не хочется делать из тебя бездум- 
ного робота-шаблонщика, поэтому попыта- 
юсь донести до глубин твоего сознания суть 
процесса. 


НАХОЖДЕНИЕ ОЕР. ТЕОРИЯ 

Как мы уже знаем, код распаковщика 
предшествует коду ужатой программы, сле- 
довательно, нам необходимо первым шагом 
найти переход на ОЕР. Если ты знаком с язы- 
ком ассемблер (на первое время достаточно 
азов), то тут будет понятнее. Для перехода 
на ОЕР в стандартных пакерах применяются, 
как правило, несколько способов: безуслов- 
ный переход на ОЕР, который используется в 
большинстве простых упаковщиках, Npeg- 
назначенных для простого сжатия программ, 
но никак не защита от взлома. Например, 
наш UPX делает именно BOT так и никак не 
иначе. 


После прыжка на ОЕР 


В ASPack'e от нашего соотечествен- 
ника используется несколько другой 
метод. 


POPAD 

JNZ SHORT NOTEPAD1.010103BA 
MOV EAX,1 

RETN OC 

PUSH NOTEPAD1.01006420 
RETN 


Как видишь, адрес OEP кладется в 
стек PUSH NOTEPAD1.01006420, a 3a- 
тем командой RET производится по ag- 
ресу в стеке. Что и требовалось дока- 
зать, друзья. 

Теперь поподробнее: как я нашел 
переходы и почему в большинстве 
случаев перед вызовом ОЕР находит- 
ся команда POPAD, что заметили все 
начинающие реверсеры, хотя мало кто 
из них придал значение этому сракту. 

Дело в том, что для корректной рабо- 
ты программы важным и необходимым 
условием является гармония адресно- 
го пространства. После прохождения 
распаковки и go передачи управления 
исходной программы код пакера дол- 
жен вернуть значения регистров, а 
главное - стека в первоначальное сос- 
тояние. Именно поэтому в начале кода 
распаковщика всегда стоит (как прави- 
ло!) команда PUSHAD, которая указы- 
вает процессору поместить значения 
регистров в стек. Команда POPAD су- 
ществует для противоположной опера- 
ции. Это можно наглядно посмотреть в 
программе, упакованной UPX: после 
возвращения стека в первозданное 
состояние происходит прыжок на ОЕР. 
Если просто смотреть листинг дизассем- 
блера, то после перехода на ОЕР мы 
увидим непонятные наборы символов 
(назвать их кодом сложновато) либо 
лишь пустую область. 

Однако этот способ действует толь- 
ко на очень простых пакерах наподо- 
бие UPX. В случае с ASPack'oM, как мы 
видим, такое уже не подойдет. Поэтому 
лучше перейдем к практике распаковки 
простейших упаковщиков. Нам понадо- 
бится установленный Зо Се. Если у те- 


бя по какой-либо причине нет вышепри- 
веденного отладчика, то можешь поль- 
зоваться любым другим - ход действий 
остается таким же. Мне Зо се ближе к 
серацу, и советую пользоваться именно 
им или OllyDbg, которым я пользовался, 
как ты уже понял, только ради скриншо- 
тов и наглядности кода. 


НАХОЖДЕНИЕ ОЕР. ПРАКТИКА 

м Итак, приступим. Для тех, кто pa- 
ботает с OllyDbg, остановиться на EP 
программы не составит труда - нужно 
просто открыть файл в отладчике. Но 
поскольку мы работаем с Зо се'ом, тут 
необходимо знать некоторые тонкости. 
Итак, сейчас мы научимся прерываться 
на точке входа в 5о се с помощью ве- 
ликолепной программы PETools, о ко- 
торой можно прочесть в другой статье 
этого номера. Этот способ широко из- 
вестен всем: лично я научился ему пос- 
ле прочтения статьи хорошо известно- 
го в своих кругах MozgC (TSRh), за что 
ему отдельное спасибо. Теперь следим 
за рукой: запускаем PETools, далее в 
меню Tools выбираем Break&Enter и 
указываем нужный нам срайл. Затем 
появляется простое окошко с сообще- 
нием, что необходимо запустить 


Softlce, ввести команду bpint3, после ее 
прохождения нажать кнопку ОК в 
окошке и ввести следующую команду 
типа е ер OxXX. На самом деле все 
намного проще, чем кажется. При ис- 
пользовании Break&Enter PETools за- 
меняет первый байт точки входа на 
байт ССН (то есть специальное отла- 
дочное прерывание int3, которое гене- 
рирует исключение), мы уже ставим в 
отладчике бряк (breakpoint - точка ос- 
тановки) на это прерывание (bpint3), то 
есть, грубо говоря, мы помечаем по- 
своему точку входа. Когда отладчик ос- 
танавливает программу на этом месте, 
команда "eb ер OxXX" (где ХХ - onpege- 
ленные байты, которые были на точке 
входа) записывает оригинальные бай- 
ты точки входа, тем самым приводя все 
в первоначальный вариант. Остается 
только снять все бряки командой "bc *" 
и работать дальше. 

А дальше мы должны рассуждать, 
как найти ОЕР. Если думать трезво и 
вспомнить уроки учителей, то мы узна- 
ем, что после исполнения своего долга 
упаковщик, как истинный мужчина, 
восстанавливает все в первоначаль- 
ное состояние. При стандартном нача- 
ne Windows-nporpamM указатель на 
верхнюю часть стека один и тот же и 
равен значению регистра езр. Когда 
пакер передает управление первона- 
чальной программе, указатель восста- 
навливается, но перед этим, как прави- 
ло, упаковщик считывает из стека зна- 
чение езр-4. Поскольку 98% простых 
упаковщиков одинаковы в своих прин- 
ципах, мы имеем право утверждать, 
что перед переходом на ОЕР будет взя- 
то значение из стека, равное езр-4. 
Следовательно, вызываем отладчик и 
пишем bpm езр-4. После нажатия <F5> 
в случае с UPX мы сразу же прерыва- 
емся на команде POPAD и последую- 
щем переходе на ОЕР. Не всегда пер- 
вая остановка будет верна: тут необхо- 
димо смотреть переходы, и если они 
есть, значит, мы пришли правильно. И 
BOT мы на заветном прыжке Ha OEP. 
Это означает то, что сейчас в памяти 
лежит распакованная программа с точ- » 
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кой входа, которую мы только что наш- 
ли. Остается только слить дамп на диск 
и восстановить импорт. Наверное, все 
уже поняли, что для того чтобы нор- 
мально слить дамп, нужно остановить 
программу на месте прыжка на ОЕР. 


СНЯТИЕ ДАМПА 

m= Для тех, кто пользуется OllyDbg, 
никакого труда не составит поставить 
breakpoint на команде перехода (всего 
лишь нажав <F2>) и запустить програм- 
му gO срабатывания точки останова. 
Любителям Зо се придется немного 
поколодовать. Тут мы уже просто 3a- 
циклим программу на этом месте путем 
замены байт, да Зо се и это может :). 
Итак, двигаемся на команду прыжка и 
вводим команду "а", что означает 
ввод ассемблерных команд, а затем 
пишем jmp ер. Применяем магическим 
<Enter>'om, и теперь наша команда ge- 
лает бесконечные прыжки на себя. 
Как видишь, ничего сложного нет. Во- 
обще самое сложное в распаковке 
упаковщиков - это нахождение ОЕР. 

Отладчики запущены, программы 
висят на прыжках на точку входа, ос- 
тается только снимать дамп. Вопрос - 
чем? Конечно, сейчас есть уйма пла- 
гинов Kak для 5о се, так и для 
OllyDbg, однако ими я не пользуюсь, 
ибо все это от лукавого. Существуют 
две замечательные программы 
PETools и LordPE, первую сегодня мы 
уже использовали, значит, снимать 
дамп будем второй. Вообще принци- 
пиальной разницы в этих программах 
нет, но нужно учиться всему и знако- 
миться со всеми. После запуска 
Г огаРЕ находим в списке наш зацик- 
ленный процесс, правый клик на нем 
и full dump - что может быть проще? 
Сохраняем дамп на диск. Ура! Нако- 
нец-то наш сфайл готов... но что это? 
Он не запускается и выдает ошибку. А 
это потому, что наш новоявленный 
блокнот не знает, какие же функции 
ему использовать. Нам предстоит еще 
восстановить таблицу импорта. Кста- 
ти, если мы уже сдампили программу, 
то можно закрывать отладбчики. Для 
тех, у кого отладчик ядра в LordPE, 
выбираем программу и в контекстном 
меню нажимаем burn process. 


ВОССТАНОВЛЕНИЕ ИМПОРТА 

и Импорт мы восстановим с по- 
мощью еще одной замечательной 
программы Import Recontructor. 3a- 
пустим упакованный блокнот, затем 
найдем его в листе процессов 
ImpRec'a. Теперь нам необходимо ука- 
зать RVA OEP (в ImpRec он просто 
ОЕР). Не пугайся слов: на врезке есть 
объяснение всему. Вот формула "RVA 
OEP = VA OEP - ImageBase". Ее нужно 
запомнить крепко. Image Base мы смо- 
жем найти нажав на кнопку PE Editor 
в LordPE. В нашем случае RVA = 
01006420 - 01000000 = 6420. Вводим 
это значение в поле ОЕР и жмем авто- 
поиск, то есть IAT AutoSearch. После 
этого нажимаем Get Imports. Мы долж- 
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УЧИТЬ НАИЗУСТЬ! 


Ш ЕР (Entry Point) - точка входа в программу, располагающуюся в 


адресном пространстве. 


OEP (Original Entry Point) - точка входа в исходную программу, ло- 
гично только когда программа упакована. Тогда ЕР - точка входа в 


код упаковщика. 


Image Base - адрес начала размещения программы в памяти. Не пу- 
тать с точкой входа! Точка входа - это адрес старта программы, а 
Image Base - адрес начала всего кода. 

RVA (Relative Virtual Address) - относительный виртуальный адрес, 
адрес смещения относительно Image Base. 

VA (Virtual Address) - виртуальный адрес, адрес в памяти, который 
нам показывает отладчик. 


ны увидеть строки с функциями и 
надписью YES напротив. Если все так, 
а так и должно быть, то кнопка Fix 
Dump открывает нам дверь на путь 
истинный. Останется только указать 
наш дамп и после нажатия на завет- 
ную кнопку ОК наслаждаться распа- 
кованным блокнотом. 

Однако не всегда все так просто и 
не всегда автопоиск спасает. Поэто- 
му напоследок упомяну некоторую 
хитрость, которая уже давно исполь- 
зуется у реверсеров. Если мы попро- 
буем таким же образом поступить с 
файлом, упакованным упаковщиком 
с небольшой степенью защиты, то 
функции мы не обнаружим, в этом 
случае придется искать RVA самос- 
тоятельно. Как известно, функции в 
исполняемом файле находятся в ви- 
ge адресов. Упаковщик сохраняет 
всю таблицу. Следовательно, по ag- 
ресам в простом НЕХ-редакторе мы 
сможем обнаружить таблицу импор- 
та в упакованном файле. Но для это- 
го нам необходимо знать хотя бы OG- 
ну функцию, которая присутствует в 
файле, и ее адрес. GetModuleHandleA 
встречается практически во всех 
Windows-nporpammax, а адрес функ- 
ции легко узнается с помощью от- 
ладчика. Достаточно ввести в 50 се 
"exp GetModuleHandleA" и получить 
ответ 77Е8 7093 (или в OllyDbg прос- 
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то поставить бряк Ha эту функцию, 
дойти до нее и прочитать внизу 
05:[01001094]=77Е 87093 (KER- 
NEL32.GetModuleHandleA) =)). При 
поиске в НЕХ-редакторе не забывай, 
что все адреса хранятся в обратном 
порядке, то есть искать мы будем 
9370Е877. У тебя, возможно, будет 
другое число. Уверяю, что ты точно 
не пропустишь место таблицы им- 
порта. Запускаем опять PE Editor, 
выбираем наш дамп и жмем FLC. За- 
тем вычисляем RVA, для этого на- 
жимаем на кнопку Offset и вводим 
найденный нами адрес. После нажа- 
тия кнопки DO в поле RVA будет то, 
что мы искали. На глаз прикинем 
размер таблицы импорта. Теперь 
все так же, только без автопоиска. 
Если мы были правы (а мы были 
правы!), то появится уйма функций. 
Удалим те, что с надписью МО, и 
фиксируем снимок (Fix Dump). Нас- 
лаждаемся и читаем врезки. 


ВМЕСТО ЗАКЛЮЧЕНИЯ 

и Надеюсь, чтение этой статьи утя- 
желило твой багаж знаний и ты встал 
на истинный путь реверсера. Может 
быть, ты, наоборот, вспомнил моло- 
дость, когда еще стоял на распутье, и 
теперь с ностальгией читаешь слова 
заключения, а на твоем винте уже ле- 
жат рабочие дампы армы. 
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МЕТОДЫ РАБОТЫ TRIAL-3ALLIUT 


ервый вопрос, который обычно задают новички крэкинга: "Как побороть ту или иную #г1а!-защиту?". И это 
совершенно естественно. Как известно, это самый популярный вид защиты. Прочитав эту статью, ты научишься 
довольно быстро справляться с #г1а![-защитой. 


TRIAL-A3BYKA 


© Trial ("испытание", 


"пробный”) - это один 


из видов защиты прог- 
рамм, распространяе- 
мых по лицензии Shareware. Его прин- 
цип заключается в том, что пользова- 
телю предоставляется для ознакомле- 
ния полностью функциональная вер- 
сия программы, но ограниченная по 
времени использования. Для того 
чтобы убрать это ограничение, необ- 
ходимо купить программу... или вос- 
пользоваться народными методами ;). 
Вспомни, как ты, запустив свою лю- 
бимую программу, с негодованием 
смотрел на всплывающее окно с 
просьбой зарегистрироваться за эн- 
ное количество у.е. и демонстрирую- 
щий себя тебе +па!-счетчик, который 
навевал мысли о приближении конца 
срока использования. И вот этот прек- 
расный день настал: при запуске 
программы ты со вселенским ужасом 
в глазах лицезрел финальное NAG- 
окно с ужасной фразой "Trial license 
has expired." Ты наверняка не расте- 
рялся и пошел на свой любимый сайт 
в поиске "лекарства" и, я уверен, на- 
шел сгаск, который благополучно не 
подошел, сославшись на неверный 
размер или СКС целевого сфайла. Се- 
KYHQHOe недоумение, и у тебя возник- 
ла новая мысль, а именно - найти се- 
рийный номер. И, о чудо! Он нашелся 
и подошел ;). Могу лишь представить, 
как ты был ошарашен и расстроен, 
когда, через некоторое время, а мо- 
жет быть, даже при следующем за- 
пуске регистрация и работа с прог- 
раммой были заблокированы :( (в ин- 
тернете сидел?). Только теперь, зайдя 
на все тот же магет'ный сайт, где был 
найден регистрационный ключ, ты об- 
наружил сообщение, предупреждаю- 
щее всех, что в программе предусмот- 
рен опйпе-тест. Там же наверняка при- 
ложено подробное руководство по 
разблокированию программы и дан 
"мудрый" совет запретить программе 
какое-либо общение с интернетом. 
Это не наш путь. Крэкеры мы или нет? 
Да =)! Значит, будем зрить в корень, а 
точнее в ассемблерный листинг. 
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OT СЛОВ К ДЕЛУ 

и Итак, существует несколько осо- 
бенностей {па!|-защит, на каждую из 
которых есть свой метод противодей- 
ствия. Собственно, о самых стандарт- 


ных я сейчас и попытаюсь рассказать. 


Trial-cueTunk 

Да, это самая главная особенность. 
Какой, скажите мне, может быть trial 
без счетчика =)? Тйа|-счетчик - это 
обычный счетчик, связанный с какой- 
либо скрытой переменной. Его увели- 
чение/уменьшение зависит от каких- 
либо системных особенностей, обыч- 
но от даты. По достижении опреде- 
ленного числа нормальная работа с 
программой блокируется. 
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Суть, я думаю, ясна. Скрытая пере- 
менная может находиться либо в 
файле, либо в реестре. Поэтому 
вспомним стандартный набор 
Windows API, которые обычно исполь- 
зуются при этом, а также рассмотрим 
примеры исследования: 

@. Для работы с реестром: 
RegQueryValueA, RegQueryValueEXA, 
RegOpenkeyA ит.д. 
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Пример: в качестве цели мы возь- 
мем программу MP3 Audio Converter, 
которая живет по адресу www.ezsoft- 
magic.com. 

Ничем He запакована, написана Ha 
Microsoft Visual C++, trial - 15 дней. 
Откроем ее в IDA и после завершения 
дисассемблирования пойдем в зак- 
ладку Imports. Ищем там одну из API- 
офункций для работы с реестром, нап- 
ример RegQueryValueEXA, щелкаем по 
ней два раза и поочередно просмат- 
риваем все участки кода, вызываю- 
щие ее. 

Через некоторое время мы заметим 
интересный код: 


push 0 ; IpReserved 

mov eax, [ebp+lpValueName] 
push eax ; IpValueName 

cx, [ebp+hKey] 


call ds:ReqQueryValueExA 
nov [ebp+var_8] 


div ecx 


mov [ebp+var_20 


lov [ebp+var_IC] 
cmp [ebp+var 
be short loc_4 
cmp [ebp+var 20] 
Je short loc 41E6C4 


Странное совпадение, не правда ли? 
Для проверки нашего предположе- 
ния откроем цель в OllyDbg и поста- 
вим точку останова на адрес начала 
данной процедуры - OO41E5E0. В ре- 
зультате мы обнаружим, что скрытая 
переменная находится в ключе разде- 
ла по адресу 
HKEY_CURRENT_USER\Software\Micro 
soft\Windows\CurrentVersion и назы- 
вается ShellEAC. После ее удаления 
trial обнуляется. Есть море способов 
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Программа TypeSpeak 


сделать его бесконечным, пусть это 
будет твоим домашним заданием ;). 
©. Для чтения из файла: ReadFile, 
ReadFileEx, CreateFileA, SetFilePointer, 
SetFilePointerEx и т.д. 


CreateFileA 


Можно попытаться найти место про- 
верки счетчика в IDA, то есть произ- 
вести действия, аналогичные тем, что 
были проделаны в предыдущем мето- 
де борьбы (это, естественно, предпоч- 
тительнее, особенно для новичков, 
так как этим самым наращивается 
опыт), но на этот раз мы сразу откро- 
ем цель в OllyDbg. Так или иначе, мы 
должны искать вызов АР! для работы 
с файлом, например CreateFileA. Ста- 
BUM точку останова на эту API. 

Как ни странно, вызов всего один: 


push 004147AC ; More = "lexicont033.dat" 
lea eax, dword ptr [esp+554] ; 

push eax; Path = "C:\WINNT\System32" 
call dword ptr [<&SHLWAPI.PathAppendA>] : 
push edi; hTemplateFile 


sh 80 ; Attributes = NORMAL 
sh 3; Mode = OPEN_EXISTING 
h edi; pSecurity 


ea ecx, dword ptr [esp+568] ; 

ush ecx; FileName 

call dword ptr [<&KERNEL32.CreateFileA>]; CreateFileA 
nov ebx, eax 
cmp ebx, -1 
je 00405383 


Происходит открытие файла с очень 
странным названием |ех!соп10З3.4а{. 
Не спеши удалять его. Это ничего хо- 
рошего не даст. Лучше взглянуть на 
него при помощи Hex Workshop. 

Файл содержит всего четыре байта, 
они-то и отвечают за trial =). Узнать 
это можно при помощи отладчики или 
еще как-нибубдь... Я определил мето- 
дом научного тыка =). Эти байты ни- 
когда не изменяются, они записыва- 
ются лишь однажды - при установке 
программы. При запуске программы 
идет их сверка с системной датой. Са- 
мое интересное, что я заметил: если 
забить этот файл нулями, то програм- 
ма станет полностью зарегистриро- 
ванной %)! 

©. Для чтения из ini-cpaina: 
GetPrivateProfileStringA, 
GetPrivateProfilelntA. 

Пример: именно для проверки счет- 
чика примера не нашлось, точнее, я 
не смог вспомнить ;). Ну, не в этом 
суть, главное - порядок действий. 
Цель - Х-ЕХЕ. Сайт - www.softeza.com. 

Trial'a как такового нет, только NAG 
с таймером ожидания. Наша задача - 
зарегистрировать это чудо мысли ;). 
Нажимаем на кнопку Enter Code и 
вводим в появившееся окно любую 
чушь, нажимаем на кнопку ОК. Спустя 
пару секунд увидим сообщение с 
просьбой перезапустить программу 
для завершения регистрации. 
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"ВРЕМЕННАЯ" ЗАЩИТА ) 


Очередная просьба... 


Твоя первая мысль: "Программа ку- 
да-то записала введенный код..." Да, 
ты абсолютно прав. Взглянем на со- 
держимое директории, в которую бы- 
ла установлена программа, а точнее 
на файл Settings.ini: 


[Settings] 
1=11112222 <- хехе, я именно это и вводил 
2=0 


Теперь откроем нашу цель в OllyDbg 
и поставим точку останова на 
GetPrivateProfileStringA. Первый же 
вызов наш. 


ush eax 

call 00406908 ; jmp to kernel32.GetPrivateProfileStringA 
OV есх, eax 

ea edx, dword ptr [ebp-800] <- EDX = указатель на код 
ov eax, dword ptr [ebp+8] 

call00404690 

op edi 

Op esi 

op ebx 

ov esp, ebp 

op ebp 

etn 8 


Пройдя no ret, а затем еще чуть ни- 
же, замечаем следующее: 


mov eax, dword ptr [ebp-10] <= ЕАХ = указатель на код 
mov edx, 004786E8; ASCII "1254960154494" 

call 004049AC<= процедура сравнения 

jnz short 00478513 

mov eax, 00478700; ASCII "Thank you for registration X-EXE!" 
call0042CAFC 


Не ведись на эту уловку! Это забло- 
кированный ключ, который не прине- 
сет должного результата. Смотрим 
дальше: 


ov eax, dword ptr [ebp-10] <= указатель на введенный 
серийный номер 

call 00404860 <= функция получения длины строки 

cmp eax, 00 
jl 00478585 <= длина должна быть больше 1 
ea вах, dword ptr [ebp-16C] 
sh eax 
OV есх, 9 <= сколько байт 
ov edx, 4 <= с какого байта начинать 
ov eax, dword ptr [ebp-10) 
call 00404ACO <= функция копирования подстроки 
ov eax, dword ptr [ebp-16C] <= ЕАХ = указатель на 
одстроку 
sh eax 
.... Код создания строковой константы 

00478597 8B95 90FEFFFFmov edx, dword ptr [ebp-170) 
<= EDX = указатель на константу 

pop eax 
call 004049AC <= процедура сравнения 
jnz short 00478585 


В результате имеем код: 
Xxx124651914 (где ххх - любые симво- 
лы). Ура! Задача выполнена =). 
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На этом со счетчиками покончим... 
Хотя нет, мне хотелось бы упомянуть 
еще одну API-qoyHkuuto - 
GetSystemTime =). Как уже все заме- 
тили (в первых двух пунктах), ее вы- 
зов происходит как раз перед вызо- 
вом рассмотренных API. И, что самое 
приятное, он единственный! "Так за- 
чем же мы тут мучались?!" - спро- 
сишь ты. Решать тебе, но, по-моему, 
приведенный метод надежнее ;). 


МАС-окно с просьбой зарегистриро- 
ваться 

Понятия "борьба с МАб-окнами" для 
меня не существует, по крайней мере, 


Круто, что сказать... 


при исследовании {Па[-защит. Потому 
что единственный правильный путь - 
это разобрать непосредственно про- 
цедуру проверки серийного номера 
или, на худой конец, подправить ее, в 
80% случаев получим полностью за- 
регистрированную программу. А что 
нам даст "убийство" МАС-окна? Окно 
пропало, а ограничения остались. Поз- 
тому смотреть надо в сторону всех вы- 


шеперечисленных API, а также: 
GetWindowTextA, GetDigitemTextA и т.д. 


Пример: рассмотрим все тот же MP3 
Audio Converter, но теперь на предмет 
регистрации. 

Загружаем его в OllyDbg и ставим 
точку останова на RegQueryValueEXA. 
Второй вызов наш: 


sh 104; Arg4 = 00000104 

ecx, dword ptr [ebp-104] ; 

sh ecx; Arg3 

sh 3; Arg2 = 00000003 

sh O044E7E0 ; Argl = O044E7EO ASCII "6+E" 
call 00410220 ; CvrtMate.0041D220 

add esp, 10 
ea edx, dword ptr [ebp-214 
push edx; pHandle 
ea eax, dword ptr [ebp-210] ; 
sh eax ; Subkey = 
"SOFTWARE\EZSoftMagic\AudioConverter\SN" 
sh 80000002 ; hKey = HKEY LOCAL MACHINE 
call dword ptr [<&ADVAPI32. RegOpenKeyA>]; 
ov dword ptr [ebp-10C), eax 
cmp dword ptr febp-10C), 0 
je short 0041E303 

хог еах, eax 
jmp short 0041E34B 

ea есх, dword ptr [ebp+C] 
sh ecx; pBufSize 

ov edx, dword ptr [ebp+8] : 
sh edx; Buffer 
ea eax, dword ptr [е6р-108] ; 
sh eax; pValueType 

sh 0; Reserved = NULL 

ea ecx, dword ptr [ebp-104] ; 


oa 


Единственный верный путь при взломе 
МАС - разобрать процедуру проверки 
серийного номера. 
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push есх; ValueName 

mov edx, dword ptr [ebp-214] ; 

push edx; hKey 

call dword ptr [s&ADVAPI32. ReqQueryValueEXA>] ; 


Пройдя еще немного, мы увидим: 


lea ecx, dword ptr [ebp-418 
bush есх; Argo 
lea edx, dword ptr [ebp-41C 
ush edx; Arg4 
lea eax, dword ptr [ebp-424] : 
bush eax; Arg3 
lea ecx, dword ptr [ebp-10); 
ush ecx; Arg2 
ea edx, dword ptr [е6р-410] ; 
ush edx; Argl = 0012ЕВ00 ASCII "125-1-125125" 
all 0041D7C0 ; CvrtMate.0041D7C0 

add esp, 14 
mov eax, dword ptr [е6р-10] 
xor eax, dword ptr [е6р-424] 
cmp dword ptr [ebp-41C], eax 
jnz short 00401931 


> 


Даже невооруженному глазу замет- 
но, что Call O041D7CO - процедура про- 
верки серийного номера ;). Немного 
подправив ее, мы получим полнофун- 
кциональную версию. "А почему бы 
не найти верный серийный номер?" - 
спросишь ты. Дело в том, что в самой 
последней проверке действительнос- 
ти нашего номера от него берется хэш 
МО5, а затем поочередно сверяется с 
элементами массива хэшей, который 
хранится в теле программы =/. Переб- 
рать хоть один из них за разумное 
время не представляется возможным 
из-за размера ключа. 


Остается только один, он же идеаль- 
ный, вариант: 

@. разобрать структуру серийного 
номера; 

©. взять от него хэш МОБ; 

@. заменить полученной хэш-сум- 
мой один из элементов массива...; 

О. дерзать ;)! 


@. Online-npoBepKa 

Вот чего я не люблю, Tak это Online- 
тест. Найдешь верный серийный но- 
мер, вроде бы все отлично, так нет же - 


еще эту чертову проверку патчить. 
Ничего не поделаешь... 


Если кто-нибудь не в курсе, online- 
тест - это проверка достоверности ре- 
гистрационных данных на сервере 
производителя. Другими словами, во 
время работы программа может в лю- 
бой момент проверить наш серийный 
номер, и, если, например, его нет в ба- 
зе на сервере производителя, работа 
с программой будет заблокирована. 


Итак, я лично встречал два типа 
online-npoBepok: 

@. с помощью АР!-функций: 
InternetGetConnectedStateEx, 
InternetOpenUrlA; 

©. посредством MFC-cpyHKuun - 
CHttpFile::SendRequest. 


На первом способе я останавливать- 
ся не буду, потому что не нашел под- 
ходящей цели... Одна упакована, вто- 
рая написана Ha VB и откомпилирова- 
на в псевдокод. Пришлось бы расска- 
зать еще и про распаковку или, еще 
хуже, про исследование VB-PCode, a 
это выходит за рамки статьи =/. Поэ- 
тому покажу метод борьбы лишь со 
вторым типом. 


В качестве примера рассмотрим 
программу EzDNS, которую можно 
скачать по адресу: wii/.czdis.com. Для ее 
регистрации вводится имя СЕЖОМ и 
номер 4BBISHWLA7FF6JFP. Теперь у 
нас вроде бы полностью рабочая 
программа... Ах нет, не пройдет и трех 
секунд, как вылетит MessageBox с 
надписью "Invalid Product Key" и прог- 
рамма закроется. 

ОК, загрузим цель в IDA и найдем 
все вызовы функции 
?SendRequest@CHttpFile. Ux всего-то 
два, вот один из них: 


push 0 

push 0 

push 0 

push 0 

MOV есх, esi 

call ?SendRequest@CHttp 
lea ecx, [ебр+маг ТС] 


= 


QAEHPBDKPAXK@Z ; 


Теперь следовало бы разобраться, 
что же он запрашивает, но, по-мое- 
му, это лишнее: легче забить оба вы- 
зова опкодом МОР и идти пить пиво. 
Ах да, чуть не забыл. Последнее go- 
машнее задание - разобрать алго- 
ритм проверки серийного номера в 
этой программе ;). 


Online-Check в действии 


= 
= 


УЖЕ В ПРОДАЖЕ 


Как всегда на нашем DVD — 
море свежайшего софта, 


дистрибутивы для 
линуксоидов, демки, 


музыка и видео по взлому 


ЧИТАЙ В ИЮЛЬСКОМ НОМЕРЕ: 


Топим народ.ру 
Новые баги популярного сервиса 


Смена командования 
Истинно хакерское повествова- 
ние о захвате чужих ботнетов 


Крыса на веревочке 

Честный рассказ о создании 
грамотного пульта управления 
для Remote Administration Tool 


Лекарство для CuteFTP 
Как взломщики оплачивают труд 
свободных программистов 
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ПАТЧИНГ 
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КОЕ-ЧТО О ТОМ, КАК МОЖНО ПАТЧИТЬ ПРИЛОЖЕНИЯ 


атчинг - это чуть ли не основной способ взлома программного обеспечения. Для того чтобы с его помощью убить в 
п целевой программе ту или иную гадкую функцию (к примеру требование зарегистрироваться), достаточно найти 
некоторый код, отвечающий за эту функцию, и модифицировать его одним из возможных методов. О том, как найти 
этот код, и о том, какими методами его можно модифицировать, пойдет речь в этом материале. 


ИЩЕМ, ЧТО 


ПАТЧИТЬ 


m Если посмотреть на 


проблему с точки зре- 


ния крэкера, можно 
сразу сориентироваться: код, который 
мы ищем - это любой код, отвечаю- 
щий за регистрацию программы и ее 
нормальное срункционирование. Су- 
ществует несколько несложных прие- 
мов, для того чтобы найти его. 

Первый, самый простой, распростра- 
ненный и довольно эсфеективный - 
нахождение в коде строк, имеющих 
какое-либо отношение к регистрации. 
Благо сообщения об успешной/неус- 
пешной активации программы, о коли- 
честве оставшихся до окончания сро- 
ка функционирования дней, содержи- 
мое NAG-okua, записи в About и т.п. - 
все хранится в программе и, как пра- 
вило, в виде р!ат-текста, поэтому их 
поиск в программе будет не очень 
сложен. После успешного нахожде- 
ния строки остается только поймать в 
программе код, который использует 
ее. Это можно сделать либо с по- 
мощью любого дизассемблера, либо с 
помощью OllyDbg. Обычно такие 
строчки встречаются в коде в виде 
инструкций наподобие "mov eax, 
ргод.ООДЕВЕЛЗ" или "push 
prog.0OO4FB613", где по адресу 
OO4FB613 как раз и лежит искомая 
строка. Далее путем статического или 
динамического метода (визуальный 
метод или метод трассировки) опреде- 
ляется, является ли найденный код 
важным для взлома. 

Второй прием, кстати, не менее 3Cp- 
срективный - останов на АР!-функци- 
ях, вызываемых в критичных для 
взлома участках. Для его применения 
нужны довольно глубокие познания в 
области набора АР!-функций для 
конкретной версии Windows, поэтому 
перед употреблением советую хоро- 
шенько изучить MSDN последней 
версии. Для того чтобы воспользо- 
ваться этим приемом, нужно хотя бы 
примерно представлять себе, что де- 
лает программа, пытаясь стрясти с те- 
бя некоторую сумму денег за регист- 
рацию. Как правило, она просит ввес- 
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ти что-нибудь вроде имени/рег. ко- 
ga/e-mail. В этом случае нужно ловить 
место регистрации по АР-функциям 
GetDigltem, GetDigitemTextA, 
GetWindowTextA. 

Если тебе повезло и ты поймал прог- 
рамму в процессе ввода серийника на 
одной из этих API, то, выйдя из деб- 
рей системных библиотек и немного 
потрассировав код, ты, скорее всего, 
найдешь место проверки или какой- 
нибудь другой манипуляции введен- 
ных тобой данных. Можно также ло- 
вить место регистрации функциями 
ShowWindow, MessageBoxA, 
MessageBoxExA, MessageBoxIndirectA 
и недокументированной 
MessageBoxTimeoutA, отвечающими 
за выводы различных окошек с сооб- 
щениями. Соответственно, если BbIga- 
ются сообщения вида "Вы ввели неп- 
равильный код" или что-то очень по- 
хожее, то, когда вылезешь из систем- 
ных дебрей, посмотри на код, находя- 
щийся выше/раньше вызова этого 
сообщения, чтобы найти код, критич- 
ный для взлома. 

Также программа может издавать ха- 
рактерный звук при выводе ошибки - 
тут можно попробовать отловить код 
на MessageBeep. В случае неудачи в 
первых двух случаях можно попробо- 
вать поискать места чтения/записи 
значений из реестра, так как програм- 
мисты порой очень любят хранить там 
регистрационные данные своей прог- 
раммы. Здесь тебе помогут API 
RegOpenkeyA, RegQueryValueA, 
RegQueryValueExA, RegCreateKeyA, 
RegSetValueA и RegSetValueExA. При 
анализе данных, передаваемых в ре- 
естр, всегда есть вероятность, что ты 
наткнешься на критичный код. Дан- 
ный способ немного муторный, так как 
программы обычно считывают множе- 
ство параметров реестра, и чем боль- 
ше программа, тем больше нагоняет- 
ся трафика, который нужно анализи- 
ровать. Кстати, иногда программисты 
записывают регистрационные данные 
в файл. Здесь все немного проще. Су- 
ществует замечательная АР! 
CreateFileA, вызываемая всегда - как 
при открытии какого-либо cpaina, так 


и при его создании. Аналогично, ана- 
лизируя параметры вызываемой 
CreateFileA, можно нарваться на мес- 
то для будущей модификации. 

Если же программа проверяет, за- 
пустили ее с оригинального диска или 
нет, то, как правило, бывает достаточ- 
но брякнуться на АР! GetDriveTypeA. 
Эта функция просто проверяет тип 
заданного диска (в данном случае 
диска, с которого запущена програм- 
ма). Если возвращенное значение 
равно пяти, значит это CD/DVD-npu- 
Bog. После запуска этой функции 
должны идти разные проверки на со- 
ответствие метки диска, наличия како- 
го-нибудь файла и т.п. Их и нужно 
патчить. 

Естественно, это не все приемы по- 
иска важного для взломщика кода - 
лишь основные. Подробности в этом 
номере журнала. 


НАШЛИ? ПАТЧИМ! 

и Существует несколько методов пат- 
чинга. Результаты их применения не от- 
личаются: в любом случае будут моди- 
фицированы OGH и те же байты и 
программа перестанет напоминать о pe- 
гистрации, однако реализация методов 
различается. Разберемся с каждым. 


ПРЯМОЙ ПАТЧИНГ 

и Это самый простой и распростра- 
ненный метод. Он заключается в 
простом модифицировании критично- 
го кода. Есть, к примеру, запакован- 
ная программа, и ты хочешь написать 
к ней крэк. При использовании этого 
метода план действий должен быть 
таким: 

Ф. Распаковать программу (это, gy- 
маю, не вызовет трудностей); 

©. Найти код, ответственный за ре- 
гистрацию; 

@. Прямо в распакованной програм- 
ме модифицировать найденный код 
определенным образом. 

В итоге распакованная и модифици- 
рованная программа - это, по сути, и 
есть крэк. Вернее, программа, просто 
взломанная прямым патчингом. Как 
видишь, все зло сведено к минимуму, 
сделать такой крэк очень просто даже 
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Ввод регистрационного кода 


без особых затрат времени. Чтобы 
прояснить, как искать критичный код 
и как патчить его, разберемся со всем 
этим делом, как говорится, на живом 
примере. Исследуем и взломаем ре- 
альную программу - игру HyperBalloid 
Complete Edition 1.20, которую можно 
скачать с сайта Wile) ex\venel. В процессе 
патчинга будем пользоваться только 
отладчиком OllyDbg. Запускаем прог- 
рамму и видим NAG-okHo с любезным 
предложением зарегистрироваться и 
указанием количества минут, остав- 
шихся от trial-nepuoga. 

Сразу же попытаемся отловить про- 
цедуру регистрации, поставив бряки на 
описанные в начале статьи API-cpyHk- 
ции. Итак, жмем на кнопку Already Paid 
в NAG'e и видим окно с приглашением 
ввести регистрационный код. 

Переходим в отладчик и ставим точ- 
ки останова сразу на все указанные 
API: GetDigitem, GetDigitemTextA, 
GetWindowTextA, MessageBoxA, 
MessageBoxExA, MessageBoxindirectA, 
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MessageBoxTimeoutA, ShowWindow, 
вводя bp ‹имя_АР!_‹функции> в поле 
Command. Введем какой-нибудь, He- 
важно какой, серийник, нажмем 
Submit, и, как это ни странно, увидим 
сообщение - якобы неправильно наб- 
ран номер ;). 

Отсюда сделаем вывод, что, если мы 
не остановились ни на одной из 
функций, то в игре используются иные 
методы взятия введенной информации 
и вывода результата. Что ж, не будем 
отчаиваться. Перезапустим программу 
и пойдем по первому указанному мной 
методу - посмотрим наличие строк в ко- 
де, имеющих отношение к регистрации. 
Нажав правой кнопкой мыши по любо- 
му участку кода и выбрав пункт Search 
for->All referenced text strings, ты смо- 
жешь увидеть окно со списком всех 
строк, встречающихся в программе, и с 
информацией о коде, который исполь- 
зует эти строки. Честно говоря, найти 
строки из МАС-скрина вряд ли повезет. 
При размере ехе-файла 144 Кб вряд ли 
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Введен неправильный серийник 


в нем будут находиться процедура ре- 
гистрации и сам код игры. Скорее все- 
го, в этом случае весь код вынесен из 
основного модуля приложения в дина- 
мически подгружаемые библиотеки. 

Итак, анализируя выведенные стро- 
ки (благо из-за размера ехе-срайла их 
там не очень много), я наткнулся на 
подозрительную: 


00406318 PUSH game.0041DAA8 ASCII 
"radll HasTheProductBeenPurchased" 


Очень похоже Ha вызов функции из 
библиотеки, проверяющий, приобре- 
тена ли программа. Поставим точку 
останова на этот PUSH, то есть на ag- 
pec 0040631B, выделив строку и на- 
жав <F2>. Запустим игру по <F9> и, как 
это ни странно, еще до появления ка- 
ких-пибо окон остановимся на этом 
адресе. И вот показался очень важ- 
НЫЙ KOg. 

Не нужно быть reverse engineer'om, что- 
бы, взглянув на инструкцию Call esi и Ha 


esi = 77ЕТВЗ32 kernel32.GetProcAddress, 


сообразить, что из какой-то библиоте- 
ки берется адрес функции 
radll_HasTheProductBeenPurchased и 
он записывается в некоторую пере- 
менную по адресу 0042319C. Если 
посмотреть на строку 
Reflexiv.OOA70000, можно сделать 
вывод, что эта сфункция берется из 
библиотеки ReflexiveArcade.dll. Ее мы 
обнаружим в папке игры в директо- 
рии ReflexiveArcade. 

Чтобы отучить игру от вредной 
привычки просить зарегистриро- 
ваться, достаточно пропатчить 
функцию с длинным названием в 
найденной библиотеке так, чтобы 
она все время утверждала, что прог- 
рамма успешно зарегистрирована. 
Но зачем патчить DLL, если можно 
пойти более изящным путем: просто 
записать по адресу 0042319C адрес 
He radll_HasTheProductBeenPurchased, 
а адрес своей функции, которая всег- 
да возвращала бы единицу, означаю- 
щую, что игра зарегистрирована. 

Первое, чего нам в этом случае не 
хватает - это своя функция. Нет ниче- 
го проще! Берем бегунок прокрутки и 
прокручиваем код программы в самый 
низ, пока не встретим там пустое мес- 
то для записи нашего кода. 

Находим его довольно быстро - нули 
начинаются с адреса ОО4198АЕ. Что- 
бы было проще запомнить, спустимся 
еще чуть ниже до адреса, кратного 


о 
=. 
x 
о 
< 
|. 4 
о 
- 
=. 
< 


(АМТТ) СВАСКТМ С 


РЕКТИВНЫЙ ПАТЧИНГ ») 


fe oer 
ский код игры 


Ищем пустое место для записи нашего кода 


1001 - 00419900, который и сделаем 
адресом нашей функции. Выделим 
стоку 00419900 и нажмем пробел 
для ввода кода по этому адресу. 
Вобьем в появившемся окошке MOV 
eax, 1 и нажмем <Enter>. В регистре 
еах, как ты и сам знаешь, обычно со- 
держится значение, возвращаемое 
функцией. В данном случае этим зна- 
чением может быть только 1. Так как 
мы пишем функцию, а не просто ку- 
сок кода, мы должны позаботиться о 
том, чтобы код вернулся на то место, 
откуда был запущен. Поэтому нужна 
еще одна инструкция - ret. Вбиваем 
ее и жмем <Enter>. 

Все. Нажмем Cancel для отмены 
дальнейшего ввода кода. Получена 
мини-функция из шести байт. Теперь 
вернемся к месту, где записывался 
адрес функции 
radll_HasTheProductBeenPurchased. 
Для этого выделим в окне регистров 
ЕР, тыкнем по нему правой кнопкой 
мыши и выберем Origin. Окажемся по 
адресу 0040631B. В принципе, весь 
местный код нужно вырезать совсем: 
нам ни на что не сдался этот 
GetProcAddress. Поэтому, стоя на ag- 
ресе 0040631B, нажмем пробел и вве- 
gem MOV EAX,419900, то есть подста- 
вим вместо оригинального адреса 
функции свой. Остальные команды 
нам не нужны, поэтому вводим далее 
инструкции пор go адреса 00406329 
включительно. 

Нам остается только сохранить все 
изменения в программе и протестиро- 
вать ее. Выделяем весь код с 
00401000 по OO4I9FFF, выбираем в 
контекстном меню Copy to executable-> 
Selection и указываем в появившемся 
окне файл, куда хотим сохранить про- 
патченную версию игры. После этого 
можно закрывать отладчик и пробо- 
вать запустить игру. Вуаля! Она прек- 
расно запустилась и, обращаю на это 


Пропатченный код 
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твое внимание, без всяких приглаше- 
ний зарегистрироваться. При выходе 
из игры нас мило благодарят за при- 

обретение. 

"Нет, нет, что вы! Вам спасибо". Сде- 
лаем некоторые выводы. Мало того, 
что лентяи программисты из Reflexive 
не делают дополнительных проверок, 
так они еще и называют экспортируе- 
мые (!) функции из dil как 
radll_HasTheProductBeenPurchased. 
Крайне безответственно с их сторо- 
ны. Ну что ж, их лень - наши сэконом- 
ленные деньги. 

Кстати, не могу не заметить, что по- 
добным образом ломается любая игра 
с сайта wwwreflexive.net. 


ПАТЧИНГ ЗАГРУЗЧИКОМ 

и Малораспространенный и не са- 
мый авторитетный метод, но он реа- 
лизуется довольно просто. Исполь- 
зуется, как правило, для программ, 
запакованных чем-нибудь хитрым, 
например протектором. Нет смысла 
писать загрузчики для программ, не 
запакованных вообще, а для запако- 
ванных пакерами проще сделать 
прямой патчинг, то есть распаковать, 
или, на худой конец - inline-naty. 

Суть метода заключается в следую- 
щем: уже после того, как был обна- 
ружен код для патчинга, пишется не- 


которая специальная утилитка-заг- 
рузчик (лоадер), которая запускает 


программу, ждет, пока она распакует- 
ся, и проверяет код на целостность, 
после чего патчит код. Использова- 
ние этого метода позволяет, во-пер- 
вых, обходить разнообразные про- 
тивные проверки, работающие в на- 
чале программы, а во-вторых, умень- 
шить размер крэка до минимума. 

Но написание лоадера - занятие go- 
вольно неблагодарное. Мало того, 
что тут требуются знания работы ОС, 
основы управления памятью и уме- 
ние программировать, так еще и ре- 
зультат может работать совершенно 
как ему заблагорассудится (глю- 
чить). Это связано с тем, что лоадер 
может модифицировать байты прог- 
раммы, когда протектор еще не рас- 
паковал основной код, что очень 
критично для стабильной работы 
программы. Скорее всего, программа 
просто упадет с критичной ошибкой. 
В связи с этим не советую увлекать- 
ся лоадерами. Правда, иногда ge- 
ваться некуда, и проще написать 
загрузчик, чем возиться с другими 
методами. Есть несколько способов 
реализации лоадеров, во врезке я 
привел самый простой и распростра- 
ненный. 

В нем, я думаю, тебе будет все по- 
нятно. Просто запускаем процесс с 
помощью CreateProcess и модифи- 
цируем после некоторой паузы и 
нескольких проверок код программы, 
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ответственный за регистрацию с по- 
мощью WriteProcessMemory. Кстати, 
по такому же принципу пишутся 
трейнеры к играм. 

На случай если писать лоадер 
очень лень, но очень нужно, сущест- 
вуют автоматизированные loader- 
мэйкеры, которые по специальному 
скрипту создают полноценный заг- 
рузчик. Останется лишь указать имя 
программы и то, по каким адресам и 
какие байты нужно модифицировать 
- все! Гоадег-мэйкер сделает по это- 
му сценарию лоадер, который можно 
будет запустить с чувством 
собственного достоинства. 


ИСХОДНЫЙ КОД ЗАГРУЗЧИКА 


INLINE-NATYART 

Это довольно сложный метод. 
Возможно, он чем-то напомнит тебе 
прямой патчинг, но они схожи только 
по подходу к проблеме, а отличаются 
и принципами работы, и большин- 
ством случаев в области применения: 
п[пе-патчинг делается для программ, 
круто обработанных пакерами/про- 
текторами, которые, вероятно, даже 
невозможно распаковать с ходу. 
Смысл метода в том, что в место прог- 
раммы, которое передает управление 
на OEP (на оригинальный Entry Point), 
то есть в место, получающее управле- 
ние, когда вся программа уже распа- 


кована, встраивается код, который 
уже будет модифицировать некото- 
рые байты, отучать от регистрации - 
собственно, производить взлом. Отра- 
ботав свое, патчащий код возвращает 
управление на ОЕР уже взломанной 
программе. Для чего нужен этот ме- 
Tog? Ну, хотя бы для того, чтобы 
уменьшить размер крэка. Если лома- 
ешь программу прямым патчингом, 
приходится раздавать крэк либо в ви- 
де взломанного ехе'шника, что ужас- 
но, особенно если вспомнить много- 
мегабайтные Delphi-MoHCTpbI, либо в 
виде программы-патча вместе с распа- 
ковщиком, что тоже, скорее всего, бу- 
дет весить немало. Сложность метода 
inline-natuuHra, как ты понимаешь, 
заключается в том, чтобы вычислить 
адрес прыжка Ha OEP и грамотно соз- 
дать код, модифицирующий програм- 
му. Подробно о том, как реализуется 
этот метод, вместе с его примерами 
читай на 


НА ДОРОЖКУ 
Как видишь, модифицировать най- 

денный критичный код - это далеко не 
такая очевидно решаемая задача, как 
может показаться. Можно решать ее 
разными способами, и каждый из них 
представит особый интерес и принесет 
особую пользу. Вопрос о том, какой 
способ выбрать, можно решить только 
на конкретном деле. Все будет зави- 
сеть от сложности системы защиты, 
крутости пакера/протектора и т.п. 

На этом я завершаю свой опус. Если 
возникли вопросы, пиши - постара- 
юсь помочь. Удачного патчинга! 2 
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ИССЛЕДОВАНИЕ ПРОГРАММЫ MOOGEAR DV CAPTURE 1.0 
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Rl и для кого не секрет, что статей Ha русском языке Ha тему создания ключегенераторов к программам, защита 
которых основана на криптоалгоритмах, ничтожно мало. Собственно, этот факт и побудил меня написать эту 
статью. А в качестве жертвы был выбран MooGear DV Capture v1.0. 


разу предупрежу, что я 


не собираюсь вдавать- 


CAB подробности каж- 


goro этапа работы 


криптоалгоритма, так 
как об этом написано немало отлич- 
ных книг (например "Прикладная 
криптография" Брюса Шнайера). С их 
прочтения советую начинать. Плюс 
без опыта исследования программных 
защит и создания ключегенераторов 
(к простым защитам) тоже будет труд- 
но осмыслить все нижесказанное. 
Для полноценной работы понадобят- 
ся PEID, OllyDbg, IDA и МА$МЗ2. Те- 
перь приступим к делу. 

Цель нашего исследования, как по- 
казал РЕГ, написана Ha Microsoft 
Visual С++ 6.0. Это хорошо, потому что 
компилятор данного языка генериру- 
ет более компактный и легче распоз- 
наваемый код, в отличие от того же 
Delphi, код которого переполнен тон- 
нами ненужных проверок и процеду- 
рами, при виде вложенности которых 
меня охватывает ужас. 

Не помешает также применить к на- 
шей жертве какой-нибудь поисковик 
криптосигнатур. Лучшим, на мой 
взгляд, является KANAL (PEid plugin), 
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KANAL - отличный поисковик криптосиг- 
натур 
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поэтому воспользуемся именно им... 
Хех, найдено две сигнатуры, и обе от- 
носятся к алгоритму Blowfish. 

В таких случаях, то есть если обна- 
руживается какой-либо криптоалго- 
ритм, я обычно сразу же загружаю 
срайл в IDA и от адреса, указанного 
анализатором, выхожу на процедуру 
регистрации, попутно распознавая и 
называя элементы (процедуры, их па- 
раметры и переменные) криптоалго- 
ритма более понятными именами. Но 
такой подход не всегда уместен... Нап- 
ример, этот криптоалгоритм может во- 
обще не использоваться при провер- 
ке ключа, а быть лишь для нашего 
устрашения или использоваться ка- 


кой-нибудь процедурой программы, 
совершенно не относящейся к регист- 
рации. Поэтому поступим иначе, а точ- 
нее "дедовским" способом =). Запус- 
тим программу и откроем форму реги- 
страции. Вводим любую чушь в поля 
регистрации и нажимаем ОК. 

Как и следовало ожидать, мы вве- 
ли неверный серийный номер, на что 
и получили соответствующее сооб- 
щение. 

Как все уже заметили, это обычное 
сообщение об ошибке, и, вернее все- 
го, оно вызывается посредством стан- 
дартной функции, а именно - 
MessageBoxA. Поэтому загрузим нашу 
цель в OllyDbg и поставим точку оста- 
нова на эту API. 


Когда OllyDbg остановится, нажима- 
ем <Ctrl>+<F9>... Мы тут: 


push dword ptr [esp+l0h] ; Style 

push eax ; Title 

push dword ptr [esp+10h] ; Text 

push ecx ; hOwner 

call dword ptr [<&USER32.MessageBoxA> ; \MessageBoxA 
pop esi 

retn OCh 


Это лишь процедура показа сооб- 
щения... Проходим ret: 


Отладчик OllyDbg - один из самых серьезных конкурентов знаменитому Softice 


push 004283341; "DV Capture" 

push 0042BAAOh; "You entered an Invalid License Code." 
mov ecx, ebp 

call MessageBoxA 

Cmov ecx, dword ptr [esp+1Ch] <= мы тут 


Теперь попробуем проанализиро- 
вать, какие же действия произвела 
программа для проверки действитель- 
ности введенных данных. Для этих 
целей больше подойдет дизассемб- 
nep IDA, поэтому загрузим нашу цель 
в него и перейдем на начало данной 
процедуры. 

С первых же строк мы замечаем сле- 
дующее: 
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м eax, [есх-8]; EAX = длина введенного имени 
cmp eax, 

jge short loc 409AAE 

push 30h 

push offset aDvCapture ; "DV Capture" 

sh offset aYouMustEnterAU ; "You must enter a User 
Name before you с".. 

mov ecx, ebp 

call MessageBoxA 


= 
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©. Длина имени должна быть боль- 
ше единицы или равна ей. 


ov eax, [esi-8]; ЕАХ = длина введенного серийного 
номера 

mp еах,1 

jge short loc 409AF3 

push 30h 

push offset aDvCapture ; "DV Capture" 

push offset aYouMustEnterAL ; "You must enter a 

License Code before yo"... 

jmp loc_409E24 


©. Длина серийного номера должна 
быть больше единицы или равна ей. 


Если предыдущие проверки пройде- 
ны успешно, то далее мы увидим нем- 
ного странные операции над длиной 
серийного номера и следующие за ни- 


ми проверки, поэтому я прокомменти- 
рую их более подробно: 


mov есх, eax ; ECX = длина введенного серийного 
номера 
text:00409AF5 and ecx, 800000018 ; проверка на 
YeTHOCTb 
jns short loc 409B02 ; если нет знака (у нас его быть 
не может) 


inc ecx 
¢_409B02: ; CODE XREF: sub_409A10+EB j 

jnz loc_409E18 ; если не четно, то на ошибку 

ov edx, eax ; EDX = длина введенного серийного 
номера 

and edx, 800000071 ; проверка делимости на восемь 
без остатка 


d 
огесх, OFFFFFFFEN 
i 
| 
J 


jns short loc_409B17 ; проверка на знак 
dec edx 

edx, OFFFFFFF8h 

С edx 

с. 40981; ; CODE XREF: sub_409A10+100 j 

2 loc 409E18 ; если не делится, то Ha ошибку 
cmp eax, 10h 

jlloc 40918 


@. Длина лицензионного кода долж- 
на быть четной, делиться на 8 и быть 
больше 15. 


Например: 


User Name: GLHOM 
License Code: 0123456789ABCDEF 


Если все условия соблюдены, TO: 


ov eax, [esi-8]; eax = 16 (длина лицензионного кода) 
cdg 
sub eax, edx 

sar eax, 1; беззнаковое деление на 2 ;) 

push eax ; cbeax = 8 

lea eax, [esp+42Ch+] 

push eax ; [рб eax = указатель на буфер результата 
push esi; Ips esi = указатель на лицензионный код 
callHexFromHexStr 


Компилятор Visual C++ генерирует более 
компактный код, чем Delphi. 


РЕЖЕ: 


Leen фе Ц вые № вые; саввые Би! 
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IDA. Лучший дизассемблер 


HexFromHexStr - преобразует ука- 
занную часть строки шестнадцатерич- 
ных цифр в бинарный вид. Преобра- 
зование происходит по два байта, по- 
этому третий параметр равен частно- 
му от деления длины лицензионного 
кода на два. Вот ее код: 


push ebx 

mov ebx, [esp+cb] ; EBX = длина, деленная Ha 2 
push esi 

XOF esi, 651 

test ebx, ebx 

Ле short loc_401F75 

push ebp 

mov ebp, [esp+8+lpb]; ЕВР = указатель на буфер 


результата 
ush edi 

v edi, [esp+0Ch+lps]; EDI = указатель на буфер дан- 
НЫХ 
CODE XREF: HexFromHexStr+31 } 

ea eax, [esp+OCh+cb]; EAX = указатель на буфер 
gna байта результата 


= 


ush eax 

ush edi 

call sub_401E80; преобразует два байта строки 

в Пех-число 
nov cl, byte ptr [esp+l4h+cb] ; CL = результирующий 
байт 

add esp, 8 

ov [esitebp], cl; заносим его в буфер результата 

inc esi 

dd edi, 2 

mp esi, ebx 
jlshort loc 401F56 
0 

0 


> => 


edi 

ebp 

oc 40IF75: ; CODE XREF: HexFromHexStr+A j 
Op esi 

op ebx 

etn 


Дальше идет собственно то, ради 
чего я все это затеял, поэтому приве- 
ду теоретические выдержки из книги 
"Прикладная криптограсрия". 

Blowfish - это 64-битный блочный 
шифр с ключом переменной длины. 

Алгоритм включает два этапа: 

@. SetKey - развертывание ключа; 

@. Encrypt/Decrypt - шифровка/де- 
шисффровка данных. 


Развертывание ключа преобразует 
ключ длиной go 56 байт в несколько 
массивов подключей общим объемом 
4168 байт. 

Шифрование данных состоит из 
простой функции, последовательно 
выполняемой 16 раз. Каждый этап 
состоит из зависимой от ключа перес- 
тановки и зависимой от ключа и дан- 
ных подстановки. Используются толь- 
ко сложения и ХОК двойных слов. 
Единственными дополнительными 
операциями на каждом этапе являют- 
ся четыре извлечения данных из ин- 
дексированного массива. 

В Blowfish используется много подк- 
лючей. Так называемые массивы 
РВох и SBox. Массив РВох состоит из 
18-ти подключей (двойных слов). Каж- 


"Прикладная криптография". Брюс Шнайер 
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КЕЙГЕН СВОИ 


ИРУКАМИ ) 


Blowfish 


дый из четырех массивов SBox cogep- 
жит 256 подключей (двойных слов). 

Дешифрование выполняется точно 
так же, как и шифрование, но подк- 
лючи РВох используются в обратном 
порядке. 

Для дальнейшего понимания кода, я 
думаю, достаточно. Теперь мы без 
труда можем распознать Blowfish, a 
уж если вооружиться его исходным 
кодом, то тем более ;). (Исходные коды 
Blowfish на С++ найдешь на диске.) 


Продолжим... 


push 10588 

call Alloc 

mov edx, eax; edx = указатель на выделенную память 
add esp, 10h 


Странный размер... Ничего He Hano- 
минает =)? Правильно! Эта память бу- 
дет предназначена для массивов 
подключей развернутого ключа. Сра- 
зу предупрежу, что этого выделения 
памяти здесь могло и не быть, это 
лишь частный случай. 

Далее мы можем видеть обычный 
для программ, написанных на 
Microsoft Visual С++, способ получе- 
ния длины строки. 


lea ecx, dword ptr [esp+24h]; ecx = указатель на 
вспомогательный буфер 

or esi, OFFFFFFFFH 

ush ecx ; 3 параметр 

ov edi, KEY ; edi = "AO2DD91A-C700-47b7-82D8- 

0£68082B4C0" 

OV есх, е91 

хог вах, вах 

epne scas byte ptr es:[edi] 

ot ecx 

ес ACK ; длина строки = 36 ;) 

ov dword ptr [esp+28h], ebx; 1 dword буфера = ebx = 0 

ush ecx ; 2 параметр 

ush_KEY; 1 параметр 

OV есх, ейх; есх = указатель на выделенную память 

ov dword ptr [esp+34h], ebx; 2 dword 
вспомогательного буфера = ebx = 0 

call Blowfish SetKey 
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mov edi, eax; edi = указатель на развернутый ключ 


©. A02DD91A-C700-47b7-82D8- 
10E68082B4CO - это не что иное, как 
ключ шифрования ;). 

@. Вспомогательный буфер исполь- 
зуется в качестве счетчика циклов в 
данной реализации Blowfish. 

@. Blowfish_SetKey - функция раз- 
вертывание ключа. 


Почему я решил, что это именно 
Blowfish_SetKey? Естественно, не с 
потолка взял =). Пришлось пройти ее 
всю под отладчиком и понять, что она 
делает. А иначе никак... Хотя в данном 
случае есть некоторые моменты, кото- 
рые мне хотелось бы выделить: 


= 


ov ebx, [esp+54h+keylength]; EBX = длина ключа 


jnb short loc 40104F 

lea eax, [esp+54h+zerobuf] 

lea ecx, [esp+54h+var_ 44] 

push eax 

mov [esp+58h+zerobuf], offset alncorrectKeyLe ; 
"Incorrect key length" 
call??0exception@@QAE@ABOBD@Z ; exception:excep- 
tion(char const * const &) 


Текст ошибки ("Incorrect key length") 
сразу же выдает назначение данной 
функции. Наши догадки подтвержда- 
ет следующий код: 


cmp ebx, 38hs= сравнение длины ключа с 56 
jbe short 004010598 
mov ebx, 38h 


Вспоминаем сразу "Преобразует 
ключ длиной до 56-ти байт" ;). 

В недрах функции мы можем уви- 
деть работу с массивами, go боли на- 
поминающими РВох и SBox =). 


mov ecx, 12h; "РВох состоит из 18 подключей" 
mov esi, offset PBox 

mov edi, edx 

mov [esp+5Ch+keylength], 12h 


rep movsd 

ea edi, [ebp+58h] 

mov ecx, 4001; "Каждый из четырех массивов SBOx 
содержит 256 подключей" 

mov esi, offset SBox 

rep movsd 


Также можно заметить внутри CDYHK- 
ции два цикла с участием довольно 
объемной функции - это 
Blowfish_Encrypt. Наличие этих цик- 


Ue ТЕ 


Часть, функции Blowfish_SetK ey 


лов также обязательно для 
Blowfish_SetKey. 

Одним словом, нет сомнений, что 
это именно срункция развертывания 
ключа. 


Что дальше? А дальше, как уже все 
догадались, идет Blowfish_Encrypt... 
Или Blowfish_Decrypt? Хех, смотрим: 


push ebx ; 4 параметр (ebx = 0, флаг режима) 

lea ecx, dword ptr [esp+22Ch] ; есх = указатель на 
лицензионный код (бинарный вид) 

ov eax, dword ptr [edx-8h] ; eax = 16 (длина лицензи- 

Horo Koga) 

aq 

р eax, edx 

ar eax, Ih 

push eax ; 3 параметр (eax = 8) 

lea eax, dword ptr [esp+3Ch]; eax = указатель на буфер 

результата 

50 push eax ; 2 параметр 


ш*фое 


Дешисфрование выполняется так же, 
как и шисфрование, но подключи РВох 
используются в обратном поряобке. 
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SBox 


push ecx ; | параметр 
MOV есх, edi; есх = указатель на развернутый ключ 
call Blowfish DecryptMode 


На вход подается указатель Ha вве- 
денный нами лицензионный код (пре- 
образованный функцией 
HexFromHexStr в бинарный вид). Яв- 
ный Decrypt =). Хотя, конечно, не по- 
мешает убедиться... (Все по аналогии 
с Blowfish_SetKey.) 

Кстати, ты мог бы подумать, почему 
я назвал функцию 
Blowfish_DecryptMode, а не 


БУ Capture 


ны. Дело в том, что 
Blowfish_DecryptMode - это функция, 
содержащая несколько разных режи- 
мов Blowfish_Decrypt. За выбор отве- 
чает четвертый параметр сфункции 
Blowfish_DecryptMode, у нас он равен 
О, что соответствует стандартному 
режиму. В этом тоже пришлось ра- 
зобраться =). 


Ну вот мы и подошли к завершаю- 
щей стадии. 


ov eax, dword ptr [esp+14h]; User Name 

ov ecx, dword ptr [esp+I8h]; Расшифрованные данные 
ush eax 

ush ecx 

calll strempi 

add esp, 8h 

test eax, eax 

ush edi 

jnz short WrongSerial 


Здесь мы видим сравнение введен- 
ного User Мате с расшифрованными 
данными, то есть, для того чтобы ре- 
гистрация прошла успешно, нужно, 
чтобы они были равны. И что теперь? 
Догадался? Правильно! Нужно за- 
шифровать наше имя. Полученный 
результат будет считаться действи- 
тельным лицензионным кодом. 


К] 
©) Your new license will take effect the next time you start DY Capture, Thank You, 


Благодарность за регистрацию 


Для этого нам необходима функция 
Blowfish_Encrypt. Где ее взять? Вари- 
антов море... 

Вот некоторые из них: 

@. Написать самостоятельно - это 
полезнее ;). 

©. Взять прямо из кода нашей цели. 

В этом нам поможет IDA, а точнее ее 
функция сохранения дизассемблер- 
ного листинга в азт-файл. Для этого 
нужно выделить нужный участок и 
нажать комбинацию клавиш 
<Alt>+<F10>. 

@. Взять из Koga Blowfish_Decrypt и 
видоизменить ее так, чтобы получил- 
ся Blowfish_Encrypt. 

Это несложно - нужно только при- 
менить смекалку. Ответ кроется в те- 
ории этого алгоритма ;). 

@. Взять готовую реализацию Ha 
каком-либо языке. 


Я выбрал второй вариант. Приш- 
лось даже исправить баг 
Вюом/Я$Н??сгурЕ, из-за которого пра- 
вильно шифровались данные толь- 
ко до девяти байт =). В общем, смот- 
ри исходники! 

Все! Надеюсь, этот опус хоть как-то 
может помочь в освоении интересной 
темы Reverse Engineering. 


Эта память будет предназначена для 
массивов подключей развернутого ключа. 


О ТОА - C:\Program Files\D¥ Capture\\D¥Capture.idb (D¥Capture.exe) - [IDA Yiew-A] 
Е File Edit Jump Search View Debugger Options Windows Help -18) x) 
roe [eee NN xi eee SHU KT a 
ЛЕ G Open... = 
I Load file 
[Е Produce Не Create МАР file... "Strings | 
— 8 efile... ar стеаке ASMfile... — АБО 
& IDC command... Shift +F2 Ch Create INC file... 
save Ctrl [a Create LST file... 
Save as... Create EXE file... 
Close Create DIF file... 
Ме А Create HTML file... 
Se UES COU Ca ‘ep Dump database to IDC file... 
‘ga Dump typeinfo to IDC НЕ... 
| aa 
ss г 
AU: idle [Down [Disk: 894mB [00001083 — (00401043: Blowfish_SetKey:loc_4010A3 р 


File->Produce file->Create ASM file... 


ПРАВИЛЬНЫЙ ЖУРНАЛ 
О КОМПЬЮТЕРНЫХ ИГРАХ 


ПРАВИЛЬНАЯ КОМПЛЕКТАЦИЯ: 
3 CD ИЛИ ДВУХСЛОЙНЫЙ DVD 8.5 Gb 
С ЭКСКЛЮЗИВНЫМ ВИДЕО 


ПРАВИЛЬНЫЙ ОБЪЕМ: 224 СТРАНИЦЫ 
88) НИКАКОГО МУСОРА И НЕВНЯТНЫХ ТЕМ, 


НАСТОЯЩИЙ ГЕЙМЕРСКИЙ РАЙ — 
ТОЛЬКО РС ИГРЫ!!! 


nyuwwn Е 


oom C.T.P.A.X. CESORA 


i. 


F.E.A.R. 


Леденящий кровь шутер, лучшая игра ЕЗ '2005! 


The Bard’s Tale 


Блестящий проект жанра интерактивной пародии. 


Ночной дозор 


Лучшая отечественная игра по кинолицензии! 


А также: 
® Актуальная информация о грядущих хитах: 
Half-Life 2: The Lost Coast, Prince Of Persia: Kindred 
Blades, Peter Jackson's King Kong, Black And White 2, 
Call Of Duty 2, Морской Охотник, Spore, Alan Wake. 
® Дневники разработчиков: Lada Racing Club, You 
Are Empty, «Блицкриг 2». 
® Разведка боем: Фестиваль «Слияние», 
Турнир 10 городов. 
e Рассказ о консолях нового поколения. 
® Под прицелом: «Комбат» — вторая мировая по- 
украински. 
® Из первых уст: Commandos: Strike Force. 
® Рецензии: Койоты: Закон Пустыни, Codename: 
Panzers — Phase Two, Still Life, Sacred Underworld, 
Area 51, Singles 2: Triple Trouble, Juiced, 
«Первая мировая»... 


И многое-многое другое! 


ЕСЛИ ТЫ ГЕЙМЕР - 
ТЫ НЕ ПРОПУСТИШЬ! 
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ПРИМЕР ВЗЛОМА: WINRAR ) 


Крис Касперски aka мыщьх 


ч = Пи. 
i = 5, 
i т 
р 7 


ВЗЛОМА: WINRAR —- 
НА ПРОСТОМ ПРИМЕРЕ УЧИМСЯ ВЗЛОМУ ПРИЛОЖЕНИЙ 
рактическую часть обучения взлому программ нужно начинать с чего-то простого, возможно, даже банального. 
Архиватор WinRAR - идеальный выбор. Его несложная защита лучше всего подойдет для проверки твоих 
свежеприобретенных крэкерских навыков. 
4 


ONbKO что скачанная 


версия WinRAR'a нор- 


мально работает 40 


дней, после чего начи- 
нает вопить, как ненор- 
мальная, о регистрации, выплевывая 
противный NAG-screen через несколь- 
ко секунд после запуска. Это очень 
раздражает, и возникает естествен- 
ное желание отломать МАС. 

Мы научимся взламывать версию 
3.42 - последнюю стабильную на мо- 
мент работы над номером, на которую 
ведет ссылка \и\\угагзой сот/гаг/игаг34? ве. Все 
остальные будут ломаться аналогич- 
ным образом, разве что только смеще- 
ния "защитных" байт будут другими. 

Помимо самого архиватора-жертвы, 
нам понадобится любой нормальный 
НЕХ-редактор (например HIEW), API- 
шпион Kerberos, дизассемблер IDA 
Pro и редактор ресурсов (Microsoft 
Visual Studio подойдет). В разных вер- 
сиях НЕМ! раскладки горячих клавиш 
отличаются, поэтому, чтобы не созда- 
вать путаницы, определимся: мы бу- 
дем использовать бесплатную вер- 
сию 6.04 без функциональных огра- 
ничений. Последние версии этого ре- 
дактора распространяются на коммер- 
ческой основе, а коммерция и хакер- 
ство несовместимы! 


ПОДАВЛЕНИЕ МАС"А 

и Все диалоги в системе, сам пони- 
маешь, выводятся не сами по себе, а с 
помощью некоторых АР|-функций. Ес- 
ли нам удастся перехватить функцию, 
выводящую МАС, мы сможем дизас- 
семблировать защитный код, который 


вызывает ее, и проанализировать ус- 
ловия, из-за которых на экране появ- 
ляется приглашение зарегистриро- 
ваться. 

Но функций, связанных с диалога- 
ми, множество: это и CreateDialog, и 
DialogBox, и MessageBox, и целая куча 
других. Какую из них использовал 
разработчик RAR'a? Чтобы не гадать, 
воспользуемся АР|-шпионом. Он все 
покажет. Только сначала настроим 
фильтр, чтобы Kerberos отбрасывал 
малоинформативные АР!-вызовы, 
захламляющие сфайл отчета. Откры- 
ваем ke_spy.txt и комментируем сле- 
дующие функции (достаточно перед 
их именами поставить знак ';'): 
TlsGetValue, DefWindowProcA, 
DispatchMessageA, GetFocus, 
GetMessageA, SendMessageA, 
SendMessageW, TranslateAcceleratorA, 
TranslateAcceleratorW u 
TranslateMessage. Для улучшения 
срильтрации имеет смысл зайти в "Оп- 
ции" (кнопка Options) и взвести сфла- 
жок report only .exe calls, чтобы соби- 
рать API-BbISOBbI только из winrar.exe, 
HO не из загружаемых им DLL. Если 
этого не сделать, ничего страшного не 
произойдет, но файл отчета получит- 
ся слишком большим и удручающе 


ненаглядным. 
Теперь нажимаем Browse, указываем 

путь к нашему архиватору и давим 

Inject. Дождавшись появления NAG'a 
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на экране, выходим из гаг'а и открыва- 

ем сфайл отчета WinRAR.rep, находя- 

щийся в одном каталоге с ехе'шником. 
Фрагмент сфайла отчета: 


WinRAR.¢ 


0049¢ 


U570DA0. 


rsA(00400000 


VV | E W AU | 


WinRAR.exe|00440F73|DialogBoxParamA(400000,495F EI:' 
REMINDER", 70094 444FF4,0) returns:0 


0000 


e|00440F9B|WaitForSingleObject(O000010 
)00A) returns: 00000102 


Изучение файла-отчета лучше Ha- 
чинать с конца (так как МАС-зсгееп 
появляется в последнюю очередь, 
когда основной интерфейс уже ини- 
циализирован). Только слепой не об- 
наружит вызов функции 
DialogBoxParamA, создающей диалог 
с грозным именем "REMINDER" (то 
есть "напоминатель"). Это и есть 
наш МАС! 

Kerberos (вот умница!) даже сооб- 
щает адрес возврата из функции - 
440A73h, ведущий прямо к защитно- 
му коду. Заглянем сюда дизассембле- 
ром? Загружаем winrar.exe в РА PRO 
и давим <G> (Jump to address), 
"440A73", <Enter>. 

Тут отчетливо виден вызов 
DialogBoxParamA, выше которого на- 
ходится следующий код: 


n AORALN 
495А60, 0 


jge short lo 
AF 
: CODE XREF 
mov byte.495A60, 1 

push 0; dwinitParam 

ush offset sub 444FF4 : IpDialogFunc 
dword_4B161C ; hWndParent 


enh 4409г 
sub 440808 
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| Защитный код, исследуемый в дизассемблере IDA PRO 


BoxParamA 


F 

A0F68 ризй hLibModule ; h 
| 
Е 


II Dia 
A4OFT3 


‚ CODE XREF: sub_4408C8 
A90, 0 


cmp dword 


Можно заметить, что функция 
DialogBoxParamA вызывается тогда, 
когда выполняется условный пере- 
ход: cmp eax, 28h/jg loc_440F4F (пры- 
MOK, если eax > 28h). В десятичной 
системе 28h равно 40. Это и есть срок 
демонстрационного периода, поло- 
женный нам по праву. Здесь сразу 
становится ясен "физический" смысл 
переменной dword_OO4B43C8: она со- 
держит количество дней, прошедших 
с момента установки программы. 

В общем, можно радоваться! Штаб- 
квартира защитного механизма най- 
дена! Как мы будем действовать те- 
перь? Чтобы заблокировать МАС, 
можно, например, изменить стр 
eax,28h (83 Е8 28) на хог eax,eax/nop 
(33 С0/90). В этом случае eax всегда 
будет равен нулю независимо от того, 
какой день сейчас за окном. Команда 
пор нужна тут для того, чтобы ском- 
пенсировать уменьшение длины 
инструкции (стр занимает три байта, 
а хог - только два). 

Запускаем HIEW, загружаем 
winrar.exe, дважды нажимаем на 
<ENTER>, чтобы перейти в ассемблер- 
ный режим, давим <F5> (goto) и пишем 
" 440F 46" - адрес инструкции стр. 
Точка здесь затем, чтобы сообщить 
НЕХ-редактору, что это именно адрес, 
а не смещение в файле. Нажимаем 
<F3> для перехода в режим редактиро- 
вания (edit), а затем <ENTER> для вво- 
да ассемблерной инструкции. В поя- 
вившемся диалоговом окне пишем 
"xor eax,eax" <ENTER> "пор" <ESC>. 
Сохраняем все изменения в файле 
нажатием <F9> и выходим. 

Запускаем WinRAR. Теперь МАС уже 
не выводится! Весь взлом не занял и 
десяти минут! Как вариант можно за- 


— = fe: ri a 


менить mov eax, dword_O04B43C8 (Al 
C8 43 4B 00) Ha mov eax, 6 (B8 06 00 
00 00), и тогда бедный архиватор бу- 
дет всегда считать, что с момента ре- 
гистрации прошло ровно шесть дней. 
Почему именно шесть? Ну, не шесть, 
так девять. Какая нам разница?! Глав- 
ное - чтобы не больше 40! А еще 
можно заменить jg short loc_440F4F 
(ТЕ 04) на jmp short loc_440F73 (EB 28), 
тогда безусловный переход будет пе- 
рескакивать диалог независимо от те- 
кущего времени. 

Наиболее красивым взломом счита- 
ется тот, в результате которого в 
cpaiin было введено минимум исправ- 
лений. Двумя байтами мы смогли оту- 
чить программу от надоедливого диа- 
лога, однако можно было управиться 
и спомощью одного. Найти его, скорее 
всего, не составит большого труда. 


ПРИНУДИТЕЛЬНАЯ 
РЕГИСТРАЦИЯ 

и Несмотря на то, что раздражаю- 
щий МАС успешно ликвидирован, 
программа остается незарегистриро- 
ванной и честно пишет в заголовке 
окна: "evolution copy". А если нажать 


_Три байта, блокирующие NAG — 


About, мы увидим "40 days trial copy". 
И хотя никаких ограничений в демон- 
страционной версии нет, чисто психо- 
логически работать с зарегистриро- 
ванной копией намного приятнее. 

Известно, что регистрация осущес- 
твляется с помощью ключевого срай- 
ла с электронной подписью, сгенери- 
рованной на криптографической ос- 
нове с таким расчетом, чтобы под- 
делка ключа была невозможной. Все 
это так, но нам же не нужен ключ! 
Мы хотим установить срлаг регистра- 
ции! А как его найти? Вернемся к за- 
щитному механизму. 

Выше уже известной нам инструк- 
ции "стр eax, 28h" ополчилась це- 
лая серия условных переходов, при 
определенных обстоятельствах пе- 
репрыгивающих через этот против- 
ный диалог. Очевидно, один из них 
принадлежит флагу регистрации (у 
зарегистрированных пользователей 
МАС не выводится), но как опреде- 
лить, какой именно? 

Разберемся со всеми по порядку. 
Назначение переменной 
byte_495A60 определяется сразу. 
При выводе диалога сюда записыва- 
ется 1, то есть диалог уже выведен и 
выводить его повторно не нужно. С 
переменной dword_4B3A90 все го- 
раздо сложнее. Чтобы узнать, кем 
она используется и для чего, необ- 
ходимо просмотреть перекрестные 
ссылки. Подводим курсор к имени 
переменной, вызываем контекстное 
меню и выбираем пункт "jump to xref 
to operand" или просто нажимаем <X>. 
Появляется окошко с кучей инфор- 
мации. 

Фу! Куча перекрестных ссылок по 
чтению (г) и записи (W), разбросан- 
ных по всему телу программы, среди 
которых доминируют dec и inc. Ha 
флаг регистрации это мало похоже. 
Скорее, это какой-то дикий CemMacpop, 
используемый для организации вза- 
имоблокировок. В общем, запчасть 
от интерфейса. 

К переменной Бу{е_4В7ЕОО, ведут 
три ссылки, две из которых находятся 
в непосредственной близости от » 


Подопытный 
WinRAR можно 


скачать по ag- 
ресу www.rar- 
soft.com/rar/ 
wrar342.exe. 


На диске ты 
можешь найти 


как сам 
WinRAR, так и 
утилиты, необ- 
ходимые для 
его взлома. 
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ПРИМЕР ВЗЛОМА: WINRAR ) 


Исследование перекрестных ссылок 


| ВИНО 


Дизассемблерный листинг функции DoRegister, выдающей себя текстовыми строками "rarkey" 


функции DoDragDrop, так что их мож- 
но откинуть сразу. 

А вот переменная byte_49F9BC - это 
настоящий клад. К ней ведет множе- 
ство перекрестных ссылок на чтение 
и запись, но все записываемые значе- 
ния возвращаются либо функцией 
sub_40DB5C, либо sub_44A278. При 
первом же взгляде на sub_44A278 
бросаются в глаза текстовые строки 
"rarkey", заботливо оформленные 
дизассемблером как комментарии. 
Ага! Похоже, это и есть процедура, от- 
ветственная за регистрацию. Подво- 
дим курсор к ее началу, нажимаем <N> 
и переименовываем ее в "DoRegister". 

С функцией sub_40DB5C разобрать- 
ся тоже несложно. Достаточно про- 
анализировать код, находящийся в 
самом начале DoRegister: 


oRegister proc near 


00444299 call sub_40DB5C 
0044A29E test al, al 
0044A2A0 — jz short loc 44A2B6 

‚ продолжение регистрации 
О44А2А? moval, 
О44АА4 mov едх, [ebp+var ПС] 
0044A2AA — mov large fs:0, edx 
0044A2B1 jmp loc 44A40D 
Ha вход из Функции 


Ss 
= 


oc 


Если sub_40DB5C возвращает ноль, 
функция DoRegister продолжает реги- 
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страцию. Ненулевое значение приво- 
дит к немедленному выходу из функ- 
ции. Логично предположить, что 
sub_4ODB5C просто сообщает статус 
регистрации: ноль - не зарегистриро- 
ван, не ноль - зарегистрирован. Под- 
ведем курсор к началу sub_40DB5C и 
переименуем ее в "IsRegistered". 

А давай заставим IsRegistered всег- 
да возвращать ненулевое значение! 
Тогда программа будет признана за- 
регистрированной, несмотря на то, 
что ключевого Cpaiina, заверенного 


электронной подписью, у нас нет (да и 
откуда бы ему взяться)! 

Запускаем HIEW, дважды нажимаем 
<ENTER> для перехода в дизассемб- 
лерный режим, давим <F5>, вводим 
"A0DB5C" (адрес функции 
IsRegistered), затем <F3> для перехода 
в режим редактирования и <ENTER> 
хог eax,eax <ЕМТЕЕ> inc eax <ENTER> 
retn <ESC> (обнулить регистр eax, тут 
же увеличить его на единицу и CBa- 
лить из функции). Записываем изме- 
нения клавишей <F9> и выходим из 
редактора. 

Надпись "evaluation copy" в заголовке 
окна послушно исчезает, а в окне About 
появляется строка "Registered to". 


УКРОЩЕНИЕ ABOUT'A 

m= Надпись "Registered to" - это, ко- 
нечно, хорошо, только непонятно, на 
кого именно зарегистрирована прог- 
рамма. Первое, что приходит на ум - 
найти этот "Registered to" в програм- 
ме (он там находится по смещению 
50DBA4h) и заменить его Ha "hacked 
Бу KPNC", однако более длинный ник 
вместить уже не удастся, поскольку 
предельно допустимая длина строки 
жестко ограничена. Лучше найдем тот 
код, который выводит эту строку, и 
немного подкорректируем его! 

Запускаем Kerberos, загружаем win- 
гаг.ехе, открываем "About", закрыва- 
ем winrar.exe и лезем в протокол, в 
конце которого содержится строка 
DialogBoxParamA(400000, 496005: 
"ABOUTRARDLG", OO01200AA, 
00444618, 00000000), вызываемая 
по адресу 441DICh. Ага, это наш About 
Rar Dialog и есть! Возвращаемся в 
ИДУ и переходим по указанному 
адресу. 

Код, создающий About-guanor: 


00441001 ризй offset зиб 444618 ; IpDialogFunc 
00441006 push dword_4Bi61C 

00441D0C push offset aAboutrardlg 

00441011 push hLibModule 

0044107 са DialogBoxParamA 
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Как демонстрация версия стала зарегистрированной 
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Определение идентификатора поля вы- 
вода в Microsoft Visual Studio 


Функция sub_444618, как и подска- 
зывает IDA, представляет собой про- 
цедуру, ответственную за вывод диа- 
лога. Заглянем, что там? Ой-ой-ой, 
сколько всяких вызовов! Это же кры- 
шей поехать можно, пока разберешь- 
ся, что к чему! Мы видим множество 
вызовов SetDigltemTextA. Какой из 
них наш? Чтобы ответить на этот воп- 
рос, требуется выяснить идентифика- 
тор соответствующего элемента уп- 
равления. 

Запускаем Microsoft Visual Studio 
(или любой другой редактор pecyp- 
сов), говорим "open file", в "Типе фай- 
лов" выбираем "Все срайлы", а в Open 
as - Resources (если этого не сделать, 
файл будет открыт как двоичный, что 
совсем не входит в наши планы). В ge- 
реве ресурсов находим ветку 
"Dialogs", а в ней "ABOUTRARDLG". 
Дважды щелкаем по нему мышью 
или просто жмем <ENTER>. Запустится 
редактор ресурсов. Находим строку 
"40 days trial copy", на месте которой 
в зарегистрированной версии выво- 
дится "Registered to", и, вызвав конте- 


кстное меню, определяем ее ID. В на- 
шем случае он равен 102 (или 66 в 
НЕХ-представлении). 

Просматривая дизассемблерный 
листинг, ищем такую функцию 
SetDigitemTextA, чьим аргументом бу- 
дет идентификатор 66h. В конечном 
счете мы находим ее по адресу 
A4AATECHh: 


Функция sub_4113DC возвращает 
указатель на выводимую строку, кото- 
рая тут же передается 
SetDigitemTextA. Исследовать саму 
sub_4113DC мы не будем. Имя зареги- 
стрированного пользователя берется 
из ключевого файла, над которым 
можно просидеть всю оставшуюся 
жизнь. Лучше внедрить свою строку 
в исполняемый срайл и подменить 
указатель. Внедряться будем в сек- 
цию данных, в хвосте которой практи- 
чески всегда имеется свободное мес- 
то. Размещать выводимую строку в 
секции кода нельзя, поскольку RAR 
требует, чтобы она была доступа на 
запись. 

Открываем HIEW, переходим в НЕХ- 
режим, давим <F8> для отображения 
заголовка файла и вызываем табли- 
цу объектов (object table) клавишей 
<F6>. За секцией .data расположена 
секция .tls. Подгоняем сюда курсор и 
нажимаем на <ENTER>, а затем пере- 
мещаемся на несколько строк вверх, 
следя за тем, чтобы не залезть в зна- 
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Создание подложной строки с именем зарегистрированного пользователя 
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Полностью хакнутая версия, зарегистрированная на 
мыщьх'а 


ВЕРСИЯ аль О 
3.0 stable (rus) AOBA4C 439740 
3.42 stable (eng) 4ODB5C 4,45E+09 
3.50 beta5 (eng) | 40DE2C 4457ВО 
3.42 stable (rus) AODB5C 4,45E+09 


Адреса хакаемых байт в различных 
версиях WinRAR'a 


чимые данные, которые начинаются 
там, где кончается цепочка нолей. В 
нашем случае это будет адрес 
49D7BOh (хотя при желании также 
можно выбрать 49D7AEh, 49D7AFh и 
T.g.). Нажимаем <F3> для перехода в 
режим редактирования и записываем 
"registered version hacked by nezumi" 
(nezumi - это "мыщьх" по-японски). 

Теперь переходим по адресу 
4447E6h, возвращаясь к нашей диа- 
логовой процедуре, и заменяем Call 
sub_All3DC (E8 ЕТ CB FC FF) Ha mov 
eax, 49D7B0 (B8 ВО D7 49 00), где 
49D7BOh - адрес хакнутой строки. 
Сохраняем изменения в файле, и... ра- 
ботает! 

Теперь взломанная версия ничем не 
отличается от легально зарегистриро- 
ванной! Разумеется, это еще не озна- 
чает, что теперь RAR'OM можно поль- 
зоваться и ничего за это не платить (а 
законов никто не отменял), поэтому 
сразу же после экспериментов взло- 
манный файл должен быть удален с 
жесткого диска. 


ЗАКЛЮЧЕНИЕ 

Многие разработчики использу- 
ют электронные подписи и прочие 
криптографические механизмы, на- 
деясь, что так уберегутся от злов- 
редных хакеров. Как бы не так! 
Криптограсрия - конечно, мощная 
штука, но к ней нужен свой подход. 
Если программа опирается на флаг 
регистрации (а так поступает боль- 
шинство программ), она элементар- 
но взламывается правкой несколь- 
ких байт, на поиск которых уходит 
совсем немного времени. 

Зачем искать в Сети крэки, которые 
еще не сракт что заработают. Гораздо 
интереснее и быстрее взламывать 
программы самостоятельно! 
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ПРИМЕР ВЗЛОМА: SOURCEFORMATX ) 


Ara (ara@citeam.net) 


ПРИМЕР ВЗЛОМА: 
SOURCEFORMATX 


ВЗЛОМ ПРОГРАММ С НЕВЕРОЯТНО 
ГАДКОЙ СИСТЕМОЙ ЗАЩИТЫ 


орой встречаются программы, которые как только заметят, что их ломают, начинают делать разные очень неприят- 
п ные вещи. Ты только представь, каково будет удивление хакера, если при очередном взломе он вдруг лишится всех 
бесценных данных на своем жестком диске. Впрочем, вряд ли будет только удивление - тут и разрыдаться можно. Ниже 
будет рассказано, что я предпринял, когда наткнулся на подобную программу, как ломал ее, с какими трудностями 
столкнулся. Надеюсь, тебе будет полезно посмотреть, как другие крэкеры воюют с софтом. Enjoy! 


_4 


днажды Ha форуме 


cracklab.ru кто-то поп- 


росил меня помочь со 


взломом программы 


SourceFormatX версии 
2.56, использующейся при сформати- 
ровании исходных кодов. Она посто- 
янно выводила МАС-окно с предложе- 
нием зарегистрироваться, и все са- 
мые интересные функции сформатиро- 
вания исходников в ней были недос- 
тупны. В тот момент я был свободен и 
взялся посмотреть на защиту. После 
некоторых манипуляций, проведен- 
ных в отладчике, у меня вдруг стала 
самопроизвольно открываться папка 
"Мои документы". Уже открылось 
примерно 50 окон, прежде чем мне 
удалось убить процесс. И тут я с удив- 
лением обнаружил, что не могу запус- 
тить ни одну программу на своей ма- 
шине, а иконки на рабочем столе ста- 
ли однообразно стандартными. Рабо- 
тали только программы, которые были 
запущены. Моя система умерла. 

Тотчас на IRC-KaHane cracklab'a я 
попросил сообщить на форуме о Ta- 
ком поведении программы, чтобы дру- 
гие были осторожны при ее взломе. И 
все равно некоторых постигла та же 
учесть. Видимо, поэтому программа и 
осталась невзломанной - немногие за- 
хотели рисковать своей системой. 

И вот через некоторое время, воору- 
жившись необходимыми утилитами, я 
снова вернулся к этой злосчастной 
программе, чтобы, наконец, разоб- 
раться с ней и поделиться опытом с 
тобой. Несомненно, имея под рукой 
статьи подобного рода, тебе будет 
легче постигнуть трудную, но увлека- 
тельную науку взлома программ. 


ИНСТРУМЕНТАРИЙ 

и Для работы нам будут необходи- 
мы следующие инструменты: отлад- 
чик OllyDbg, желательно последней 
версии с набором плагинов к нему 
(CommandLine или CommancBar, 
OllyDump), ImportREConstructor 1.6 
Final и PEID. Также рекомендую заме- 
чательную утилиту ShadowUser, найти 
ее не составит труда. Она отменяет 
ВСЕ изменения в системе, сделанные 
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после перезагрузки. С ее помощью 
мы будем защищать системы от кра- 
ха. В процессе взлома мне приходи- 
лось много раз видеть, как погибает 
моя ОС, но благодаря ShadowUser при 
перезапуске все возвращалось на 
свои места. Пользоваться ей очень 
легко: нужно кликнуть мышью в трее 
на ее значке и выбрать режим ЕпаЫе. 
Программа попросит перезагрузку, на 
которую нужно согласиться, и после 
рестарта она загрузится уже активной. 
Теперь, чтобы мы ни делали, все изме- 
нения при следующем запуске систе- 
мы будут возвращены на прежние 
места. Я проверял ее так: удалил нес- 
колько папок с диска С, прописал один 
брайл нулями и очистил корзину. По- 
том деактивировал программу точно 
таким же образом (правым кликом) и 
убедился, что все стоит на своих мес- 
тах. Итак, защита работает, активиру- 
ем ее снова и приступаем к работе. 


РАСПАКОВКА 

и При помощи PeiD определим, чем 
запакована программа. PEID говорит, 
что это "PECompact 1.68 - 1.84->Jeremy 
Collake". Что ж, поверим. Загружаем 
программу в отладчик, вызвав плагин 
CommandLine клавишами <Alt>+<F1> 
или написав в командной строке ко- 
манду hr езр-04 (установка hardware- 
прерывания), и пару раз нажимаем 
<F9> (Вип). Остановимся прямиком на 
ОЕР (адрес - 00573258). Теперь мож- 
но снять дамп. Я воспользуюсь 
OllyDump, а ты - любым привычным 
тебе дампером - LordPE, PETools и т.п. 
Для восстановления таблицы импор- 
та лучше всего подойдет ImpREC. Вы- 
бираем нашу программу в списке про- 
цессов, выставляем найденное OEP 
(573258-400000=173258), жмем 
GetImports. ImpREC определит все 
функции, поэтому кликаем Fix Dump и 
находим полученный ранее дамп. Все, 
программа распакована. Проверим 
правильность наших действий, запус- 
тив ее. Сразу видим сообщение, что 
программа заражена вирусом или мо- 
дифицирована. 

Однако несколько минут назад ни- 
какого вируса не было - наша систе- 
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ма регулярно проверяется антиви- 
русными средствами. Поэтому логич- 
но предположить, что таким обра- 
зом программа проверяет себя на 


распакованность, тем самым сопро- 
тивляясь взлому. Что делать? Да- 
лее будем приводить программу в 
нормальный вид, устранив всячес- 
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PeiD определил упаковщик как 
"PECompact 1.68 - 1.84->Jeremy Collake" 


Восстановление импорта с помощью 
ImpREC 


кие проверки и получив корректно 
работающий эк-земпляр. 


УСТРАНЕНИЕ 
ЗАЩИТЫ ОТ ВЗЛОМА 

Запускаем программу в отладчике 
(клавиша <F9>), и она благополучно 
закрывается. Причем вместе с отлад- 
чиком и безо всяких сообщений. Вы- 


вод тут один: имеет место проверка на 
наличие отладчика, что может осуще- 
ствляться множеством разных спосо- 
бов. Начнем искать самые популяр- 
ные: поиск окна по заданному классу 
с помощью FindWindows и получение 
хэндла процесса OpenProcess'om. Ста- 
вим точки останова на эти функции: 


Запускаем программулину, и нам по- 
падется такой код: 


Вырезку кода я снабдил коммента- 
риями. Хотя и так понятно, что прог- 
рамма ищет окно с классом OLLYDBG 
и, если такое имеется, просто завер- 
шает процесс, то есть закрывает от- 
ладчик. Обойти это довольно просто: 
поменять условный переход по agpe- 
cy 0055614C на безусловный (JMP), 
что можно сделать прямо в отладчи- 
ке - двойной щелчок по нужной ко- 
манде, правка команды и <ENTER>. Те- 
перь можно сохранить сделанные из- 
менения: выделив их, вызвать конте- 


Стоит запустить программу в отлаодчике, 
как она благополучно закрывается. 
Причем вместе сотладчиком. 


кстное меню и выбрать пункт Copy to 
executable-Selection. Затем там же - 
Save to file. 

Как вариант, можно пропатчить 
OllyDbg.exe. Просто изменить ему 
класс окна и заголовок. 

Едем дальше. Теперь наш отладчик 
для исследуемой программы не виден - 
можно запустить ее и проверить. Уви- 
дим уже знакомое сообщение о виру- 
се и модисфикации. Сначала я просто 
попытался обойти вывод сообщения. 
Поставил bp MessageBoxA и посмот- 
рел чуть выше. 


Поменял переход и, сохранив измене- 
ния, запустил сосфтину. В итоге получил 
50 открытых папок "Мои документы" и 
"убитую" ОС. По частой смене экрана я 
догадался, что происходит перезапуск 
explorer.exe (как-то я писал маленькую 
программку для удаления трояна со 
своего компьютера, там мне пришлось 
временно убивать explorer.exe - и было 
такое же мигание). 

Раз уж происходит запуск, попробу- 
ем прерваться на выполнении АР! 
WinExec. Прописываем в командной 
строке bp WinExec и запускаем прог- 
рамму. 

Мы остановимся в очень интерес- 
ном месте: 
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cracklab.ru. 
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ПРИМЕР ВЗЛОМА: SOURCEFORMATX ) 


Это же бесконечный цикл! Нужно 
изменить условный переход по адре- 
су 00517A6B на безусловный, чтобы 
никогда больше не попадать в это 
кошмарное место. Внимание! Перед 
циклом вызывается функция 
SetFilePointer, и результат ее работы 
сравнивается с неким числом. Даже 
без отладчика можно понять, что это 
не что иное, как проверка размера 
файла, то есть проверка на распако- 
ванность, которая делается следую- 
щим образом: вызывается функция 
SetFilePointer, устанавливающая ука- 
затель на конец файла. Возвращен- 
ный результат (текущая позиция ука- 
зателя) как раз и будет размером 
файла, так как указатель находится в 
самом его конце. Полученное число 
сверяется с зашитым в программе. И 
если первое больше второго, то вы- 
зывается цикл. Будем исправлять та- 
кое безобразие. Сначала я вызвал из 
контекстного меню отладчика функ- 
цию Seargh for-All intermodular calls и 
поставил прерывания Ha все АР! 
WinExec (всего 27 вызовов). Это было 
сделано для удобства их поиска в ко- 
де, прерываться на них мы больше не 
будем. Теперь, тыкая в букву "В" на 
панели инструментов OllyDbg, можно 
посмотреть все установленные бряки. 
Кликая на каждый из них по очереди, 
поменяем все находящиеся выше ус- 
ловные переходы на безусловные. 
Кроме первого (там вызывается блок- 
нот, возможно, это нужный вызов). 

Попадаются интересные места вроде: 


00518506 — PUSH 1..0051BD04 
FileName = "\\\NTICE" 
0051B52B = CALL <JMP.&kernel32.CreateFileA> 
CreateFileA 


Оказывается, программа обнаружи- 
вает не только OllyDbg, но и 5о се. 
Посмотришь сам: встроено и обнару- 
жение некоторых инструментов 
взломщика - DeDe, RegMonitor и т.п. 

И вот, кстати, занимательное место 
перед бесконечным циклом: 


OO55F10B call <JMP.&kernel32.GetFileSize> 
- GetFileSize 

0055710 — cmp eax,1242A8 

0055715 —_jle short 1_.0055F136 


Еще одна проверка на распаковку. 
Запомним это. 

Исправив все переходы, нужно сох- 
ранить результат исправлений. Поче- 
му-то у меня некорректно работает 
функция сохранения всех сделанных 
изменений в OllyDbg, поэтому я делаю 
так: перемещаю указатель на начало 
секции кода (обычно это адрес 
401000), затем в конец секции и, 
удерживая клавишу <Shift>, выделяю 
любую строку. Выделяется весь код, и 
его можно сохранять так же, как мы 
делали ранее при одном изменении. 

Однако мы еще не до конца убрали 
проверку на распакованность, и радо- 
ваться нам рано. При обходе беско- 
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нечного цикла, который мы продела- 
ли ранее, было замечено, что перед 
циклом сначала вызывались функции 
GetFileSize и SetFilePointer. Некоторые 
из них мы уже обошли. Но у нас нет 
возможности проанализировать код: 
все строки в файле зашифрованы и 
расшидровываются по мере необхо- 
димости. Используя дизассемблер, мы 
не можем точно сказать, для каких 
именно файлов вызываются эти 
функции: может вычисляться, к при- 
меру, размер сформатируемого исход- 
ника, тогда этот участок нам обходить 
нельзя. Чтобы не попортить нужные 
участки кода, будем проводить ана- 
лиз динамически, то есть с помощью 
отладчика. Конечно, тут возможны 
ошибки, какие-то места мы можем и 
пропустить, но делать нечего. В коман- 
дной строке ставим точки останова: 


bp GetFileSize 
bp SetFilePointer 


Жмем <F9> и смотрим. В тех местах, 
где полученный размер будет сравни- 
ваться с константой, мы будем менять 
условные переходы на безусловные. 
Подправив все необходимые места и 
сохранив изменения, мы можем нор- 
мально запустить свою программу. 
Теперь можно заняться собственно 
процессом взлома - радуемся. 


УСТРАНЕНИЕ ОГРАНИЧЕНИЙ 

и Сначала проверим, как работает 
наша модифицированная программа. 
Откроем какой-нибудь исходник и 
попробуем отформатировать его 
кнопкой Format. Получаем сообщение 
с предложением о регистрации. Это 
не для нас - отказываемся и видим 
свой отформатированный исходник. 
Только форматирование у него какое- 
то странное: вместо красивых рядов 
кода лишь одна строчка с непонятны- 
ми значками, крякозябрами. Откроем 
еще один исходник и выберем в меню 
File пункт Obfuskate. В итоге Ta же 
строка с крякозябрами. Теперь попро- 
буем отформатировать сразу два от- 
крытых исходника, выбрав пункт 
Format All. Появляется сообщение о 
недоступности данной функции в не- 
зарегистрированной версии, то есть 


лятор DeDe (полную версию можно 
скачать из раздела "Инструменты" 
сайта craclab.ru или взять с диска). За- 
пускаем исследуемую программу, за- 
тем сам DeDe, выбираем в нем пункт 
"Декомпиль активный процесс", ука- 
зываем нашу программу в списке про- 
цессов и жмем "Дамп". Подождем, по- 
ка декомпилятор закончит работу, и 
начинаем искать нужный код. Снача- 
ла посмотрим процедуры, которые на- 
ходятся в TmainForm. Их там оказыва- 
ется довольно много, однако среди 
них легко выделить одну важную - 
FormatBtnClick, ее название говорит 
само за себя. Адрес начала процеду- 
ры - 0056С15С. Теперь можно глянуть 
программу в отладчике: загружаем ее 
в OllyDbg, переходим на адрес 
0056С15С, ставим прерывание (<F2>) и 
запускаем программу. Теперь, если 
мы откроем исходник и нажмем 
Format, то остановимся как раз на на- 
чале процедуры форматирования. 
Здесь видим только одну инструкцию 
CALL, а за ней сразу RET. Придется 
немного потрейсить программу. 

Это производится с заходом в про- 
цедуры (клавиша <F7>) или без (<F8>). 
Другими словами, если мы будем 
трейсить по <F8>, то выполнится вся 
процедура, в том числе вложенные, 
что не позволит посмотреть выполне- 
ние кода. Поэтому заходим в процеду- 
ру по <F7>, а дальше уже обходим все 
процедуры по <F8>. Чтобы не терять 
времени, я сначала прогнал все про- 
цедуры без захода в них и нашел ту, 
которая вызывает сообщение с пред- 
ложением зарегистрироваться. Чуть 
выше по коду стоит условный пере- 
ход, который обходит эту процедуру в 
зарегистрированной версии. Меняем 
его на безусловный. 

По ходу можно отметить, что прог- 
рамма ищет занятный файл 
License.dat. Думаю, не надо объяс- 
нять, зачем он нужен. Для экспери- 
мента я создал пустой сфайл с таким 
именем в каталоге программы, в итоге 
надпись "Unregistered user" в About 
пропала. Больше ничего интересного 
при первом просмотре не попалось. 

Ну что же? Если мы точно уверены, 
что все дело в том, что программа 
распакована, что именно из-за этого 


Чтобы не попортить нужные участки кода, 
будем проводить анализ динамически, то 
есть с помощью отладчика. 


форматировать исходники совсем от- 
казываются. 

Начнем исследование с нахождения 
процедуры обработки нажатия кнопки 
Format. Ты, наверно, уже заметил, что 
программа написана на Delphi, а если 
нет, то убедись в этом с помощью 
PEiD. При анализе программ, написан- 
ных Ha Delphi, может помочь декомпи- 
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Стек в OllyDbg при остановке на вызове 
ReadFile 


исходник не хочет нормально форма- 
тироваться, поищем по-другому. Все 
проверки типа SetFilePointer и 
GetFileSize мы уже устранили ранее. 
Теперь я решил посмотреть вызовы 
функции ReadFile (чтение из файла). 
Перезапускаем программу в отладчи- 
ке, прописываем в командной строке 
bp ReadFile и снова пытаемся отфрор- 
матировать злосчастный исходник. 
Всякий раз брякаясь, будем смотреть 
стек (правая нижняя секция отладчи- 
ка). Как известно, параметры при вы- 
зове процедур обычно передаются 
именно через стек. Нас интересует 
X3HQN открытого сайла и буфер, куда 
будут занесены считанные байты. 

Нажимаем кнопку "Н" на панели 
инструментов отладчика и смотрим, 
какой хэнодл соответствует открытому 
срайлу нашей программы. Далее ждем 
момента, когда программа брякнется и 
в стеке будет лежать именно это под- 
смотренное значение. Другие сфайлы 
нас не интересуют, поэтому на осталь- 
ных всплытиях отладчика жмем <F9>. 

Наконец, программа останавливает- 
ся и в стеке лежит нужное значение. 
В коде рядом при этом читается 360 
байт из нашего файла. Находим пара- 
метр Buffer, кликаем по нему правой 
кнопкой мыши и выбираем из появив- 
шегося контекстного меню пункт 
Follow in Dump. В окне, где отобража- 
ется дамп памяти (правое нижнее) ви- 
дим, что находится в данный момент в 
памяти, начиная с адреса параметра. 
Немного прогнав код, проследим, как 
заполнятся ячейки считанными из 
файла байтами. Отметим, что считался 
заголовок нашего срайла - в памяти 
ясно видны имена секций. Похоже, это 
очередная уловка разработчиков - 
подсчитать контрольную сумму заго- 
ловка, так как при распаковке измене- 
ния в нем неизбежны. Чтобы отло- 
вить момент вычисления этой KOHT- 
рольной суммы, поставим точку оста- 
нова на обращение к памяти, для чего 
выделим несколько первых байт па- 
мяти, вызовем контекстное меню и 
выберем пункт Breakpoint. Теперь 
можно продолжить выполнение прог- 
раммы (<F9>). Оно остановится как раз 
на месте, где и происходит искомая 
нами калькуляция. 


Разбираться в алгоритме мы не будем, 
отметим только, какое значение получа- 
ется в итоге - оно будет в регистре ЕАХ. 
У меня на выходе из процедуры ЕАХ = 
69Е7О6Т2. Естественно, эта контроль- 
ная сумма будет неверной. Чтобы уз- 
нать правильную, будем смотреть, что 


должно быть в оригинальной програм- 
ме. Потом попробуем подставить нуж- 
ное значение в распакованную. 

Не попадаясь на антиотладочные 
приемы, запускаем программу и атта- 
чимся к своему процессу. Для этого 
запускаем оригинальную версию 
программы, открываем в отладчике 
меню File->Attach и выбираем наш 
процесс. Нажимаем <F9>, ставим бряк 
на 0045A026 (остановившись на 
этом адресе, можно будет увидеть 
верную контрольную сумму), открыва- 
ем любой пример, жмем Format и 
смотрим правильную контрольную 
сумму. Должно быть IDFFI22A. 

Поменяем немного код распакован- 
ной жертвы. Тут можно делать все, на 
что хватит фантазии. Я сделал таким 
образом: 


Сохраняем изменения, перезапуска- 
ем программу и проверяем работу - 
теперь все сдформатируется как поло- 
жено. К тому же работает кнопка 
Obfuscate. Очень хорошо, можно за- 
няться функцией Format All, которая 
вообще не хочет работать в незареги- 
стрированной версии. Опять обратим- 
ся к помощи DeDe. Теперь наша про- 
цедура будет называться 
Рога АИВЕпСИСК. Таким же способом, 
как и раньше, ставим бряк на адрес 
начала процедуры и, немного потрей- 
CUB, находим адрес вызова сообще- 
ния. Снова чуть выше вызова поменя- 
ем условный переход на безусловный. 


Сохраняем изменения и любуемся 
работой взломанной программы. Нет 
никаких нудных сообщений, МАС- 
окон, неработающих сфункций и т.п. 
Дело сделано, можно радоваться. 


ВМЕСТО ЗАКЛЮЧЕНИЯ 

Стремление разработчиков причи- 
нить взломщику максимальное беспо- 
койство чаще всего бесплодно. Нао- 
борот, это только прибавит упорства 
второй стороне. При взломе этой 
программы мы рассмотрели лишь не- 
большую часть приемов, которыми 
разработчики стремятся всячески ис- 
портить нам жизнь. К тому же ничего 
оригинального они изобрести не смог- 
ли, поэтому нет им оправдания 3a 3a- 
губленные системы и потерянные 
срайлы. Что ж, надеюсь, моя статья 
хоть как-то поможет тебе в нашем не- 
легком gene иты не наступишь Ha Te 
же грабли, что и я. SE 
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ТЕХНОЛОГИИ ВЗЛОМА СЛОЖНЫХ ПРОГРАММНЫХ ЗАЩИТ 


ак ломаются протекторы? Находим ОЕР, снимаем дамп, восстанавливаем импорт - все. И это почти стандарт. 

Конечно, ты уже хорошо освоил это и умеешь распаковывать всякие аспры с закрытыми глазами. Инструменты, 
которыми ты пользуешься - это Зо се, IceExt, IDA, OllyDbg, PeTools, LordPE, ImpRec, PEiD. Для снятия большинства 
протекторов их вполне достаточно. Но каждый крэкер когда-нибудь сталкивается с такой защитой, перед которой все 
инструменты пасуют. В этой статье я постараюсь рассказать, почему происходит так и что делать в таком случае. 
Опишу трюки, которые выделывают в самых сложных защитах и, главное, объясню, как обходить их. 


ействительно крутых 


защит в мире немного. 


Это He ASProtect, не 


Armadillo, He SVKP, не 


EXE Stealth, He MoleBox 
и уж точно не какой-нибудь упаков- 
щик или UPX Scrambler. Справляться 
со всем этим ты уже, несомненно, нау- 
чился. Я говорю о защитах уровня hi- 
end, против которых бессильны стан- 
дартные методы и подходы. То есть о 
StarForce, XtremeProtector (Themida), 
ExeCryptor и о тех, что привязывают 
собфт к аппаратным ключам (Hasp 
Envelope, Guardant и т.п.). Об этих 3a- 
щитах и об используемых ими прие- 
мах и поговорим. 

Все протекторы можно разделить на 
два класса: это Кта3-протекторы, код 
которых исполняется только в треть- 
ем кольце защиты процессора, и 
RingO-npotekTopbl, которые имеют 
драйверы режима ядра, позволяю- 
щие влиять на работу ОС и многок- 
ратно расширяющие список применя- 
емых защитных приемов. Из hi-end 
протекторов единственным работаю- 
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щим в Ring3 остается ExeCryptor. Это 
делает его в некотором роде уникаль- 
ным, но принципы его работы имеют 
массу неприятных недостатков. Из но- 
вых приемов защиты в hi-end протек- 
торах можно выделить: влияние на 
работу операционной системы (на 
АР|-функции, в частности), примене- 
ние псевдокода, исполняемого на вир- 
туальных машинах, самомодифициру- 
ющийся и перекрывающийся код, не- 
документированные инструкции про- 
цессора (дизассемблирующиеся не- 
правильно), масса размытого и мусор- 
ного кода, блокировка отладочных 
возможностей процессора. И всем 
этим арсенал hi-end протекторов, ес- 
тественно, не исчерпывается. Теперь 
подробнее. 


RINGO-NPOTEKTOPbI 

п К этому классу относится больши- 
нство hi-end протекторов. Обычно ни 
отладчики, ни различные дамперы ни- 
чего не могут сделать с ними - в этом 
главная неприятность этих протекто- 
ров. Попробуем, например, сдампить с 
помощью PeTools программу, защи- 
щенную хргоЁом. Очень странно, но 
защищенный процесс отображается в 
PeTools kak [System Idle Process], поэ- 
тому заглянуть внутрь и сдампить его 
у нас не получается. В OllyDbg при по- 
пытке приаттачиться к процессу мы 
вообще не обнаруживаем его в спис- 
ке (OllyDbg, как и любые другие Ring3- 
отладчики, непригоден для анализа 
RingO-npotekTopos, так что в дальней- 
шем мы будем использовать только 
зо се). Большинство начинающих 
крэкеров, видя такую ситуацию, сразу 
же бросают ломать программу, счи- 
тая, что она безнадежна. Но мы не ма- 
ленькие - нас такими трюками не ис- 
пугаешь. Если немного подумать го- 
ловой, то можно прийти к выводу, что, 
скорее всего, перехвачена одна из 
функций, имеющих дело с памятью 
процессов. Для дамперов очень важ- 
на работоспособность Native АР! 
срункций ZwOpenProcess, 
ZwReadVirtualMemory и 
ZwWriteWirtualMemory, так как на них 
построено большинство высокоуров- 


невых функций работы с процессами, 
в число которых входят ОрепРгосез$, 
ReadProcessMemory, 
WriteProcessMemory u 
EnumProcessModules. Возможен, KO- 
нечно, перехват этих функций в 
третьем кольце, но это просто глупо 
(так как его легко обойти), и я такого 
еще ни в одной защите не встречал, 
поэтому лезем сразу в ядро системы. 
Только для начала следует уяснить, 
как работает интерфейс системных 
вызовов Windows МТ. 

Из схемы, которая расположилась 
где-то рядом, следует, что вызов 
функции ядра go его передачи соот- 
ветствующей Native АР! проходит go- 
вольно сложную обработку. Сначала, 
в третьем кольце, вызывается соотве- 
тствующая функция библиотеки ntdll, 
где в регистр ЕАХ помещается номер 
вызываемого системного сервиса, а в 
регистр EDX - указатель на передава- 
емые параметры. Затем вызывается 
прерывание 2Eh (в Windows ХР - ко- 
манда sysenter), и происходит переход 
процесса в нулевое кольцо, где управ- 
ление передается согласно записанно- 
му в ЮТ шлюзу прерывания. В этом 
месте происходит переключение окру- 
жения третьего кольца на нулевое. Вы- 
полняется смена пользовательского 
стека на стек ядра. Также осуществля- 
ется перезагрузка сегментного регист- 
pa FS, который в нулевом кольце ука- 
зывает на совершенно иные структу- 
ры, чем в третьем кольце. Затем управ- 
ление передается обработчику преры- 
вания 2Eh - функции ядра 
KiSystemService. Она копирует в стек 
ядра передаваемые системному серви- 
су параметры и производит вызов 
Native API функции ядра, согласно со- 
держимому ServiceDescriptorTable 
(SDT). Эта таблица находится в памяти 
ядра и представляет собой структуру, 
содержащую четыре таблицы систем- 
ных сервисов (SST). Первая из этих 
таблиц описывает сервисы, экспорти- 
руемые ядром (ntoskrnl.exe), вторая - 
грасрической подсистемой (win32k.sys), 
а остальные две зарезервированы на 
будущее и сейчас не используются. 


Самый простой способ перехвата 
Native АР! в ядре - замена адреса об- 
работчика нужной функции в SDT на 
"свой". При вызове перехваченной 
функции происходит проверка пара- 
метров, и если производится (напри- 
мер как в протекторе) попытка чте- 
ния памяти защищенного процесса, 
то возвращается отказ в доступе, 
иначе просто вызывается оригиналь- 
ный обработчик срункции. Просмот- 
реть содержимое SDT мы можем ко- 
мандой о се'а NTCALL, при этом от- 
ладчик выводит номер функции, ее 
имя (если установлены отладочные 
символы), адрес и имя сфункции обра- 
ботчика. Если вместо 
NtoskrniINtOpenProcess мы видим 
что-то типа Xprot!.text + 12341, то 
функция перехвачена защитой. 

Однако патчинг SDT - не единствен- 
ный способ перехвата Native API. Так- 
же может быть перехвачено прерыва- 
ние int 2Eh в win2k (о чем можно уз- 
нать командой Зо се'а ОТ) либо из- 
менен обработчик системного вызова 
через sysenter в Winxp и выше. Уста- 
новка\снятие обработчика прерыва- 
ния int 2Eh будет выглядеть так: 


void Set2kSyscallHook() 
{ 
Tldt It 
asm 


] 
‚ NewSyscall 


rol esi, Ox10 

xchg [ebx + Ox176], si 
ror esi, Ox10 

mov OldSyscall, esi 


Для многопроцессорных систем, в 
том числе для процессоров Нурег 
Threading, этот код существенно ус- 
ложняется, но рассматривать его сей- 
час не будем. Если интересно, залезь 
в исходники IceExt. 

Адрес обработчика sysenter вызова 
определяется содержимым 32-битно- 
го MSR-peructpa с номером 176h. Чи- 


тать или записывать в такие регистры 
мы можем с помощью команд 
RDMSR/WRMSR, предварительно по- 
местив в ЕСХ номер регистра, а EAX 
используя как источник или приемник 
нового значения. Код, перехватываю- 
щий обработчик sysenter, будет вы- 
глядеть примерно так: 


void SetXpSyscallHook() 
{ 
_asm 
{ 
mov ecx, Ox176 
rdmsr 
mov OldSyscall, eax 
mov eax, NewSyscall 
wrmsr 


} 

Перехват также может быть осущес- 
твлен методом сплайсинга (замена 
участка кода перехватываемой ‹функ- 
ции), что легко обнаружить при трас- 
сировке перехваченного участка. 

Что ж, с методами перехвата разоб- 
рались. Осталось научиться бороться 
с ними. Тут все очень просто. Нужно 
определить адреса оригинальных об- 
работчиков и самостоятельно пропат- 
чить SDT, убрав перехват, либо заме- 
нить участок кода, измененный при 
сплайсинге, аналогичным участком из 
оригинального файла ядра системы 
(ntoskrnl.exe). При этом ты можешь 
столкнуться с проверкой наличия пе- 
рехвата протектором, и если ты не 
знаешь, как бороться с такими веща- 
ми, значит, тебе рано браться за 
ппдО-проекторы - потренируйся луч- 
ше на аспаке. 

Второе, с чем ты обязательно столк- 
нешься в ringO-npoTekTopax - это пе- 
рехват отладочных прерываний (int 1 
int 3). Этот прием не дает нам трасси- 
ровать код в отладчике и ставить бря- 
ки. Реакция защит на срабатывание 
этих прерываний банальна - синий эк- 
ран! Нужно что-то делать с этим, если 
ты хочешь пользоваться отладчиком. 

Если отладочные прерывания просто 
заблокированы, но не несут при этом 
никакой смысловой нагрузки, то можно 
восстановить их оригинальные векто- 
ры, отключить проверки целостности 
перехватов (если они будут) и радо- 
ваться жизни. Но, к сожалению, в сов- 


lon apr 
Descripison 


Segre EDP 
br nell The 


Lice! ME eee Gy Eta mts ED Ean | 


а В ии 
№ Ты tgp 9 alee lieth ae the BO. Preity bt ine caches oll Ole MOSH i 
Е eller PLS, ces i thee EAS, ergy sory 
oe beanie ee АЕ trnyekcttecmeice its hi Е inca. 
ter valu wind ie AK EA ae inieepelermoried byt bscstivers ox wipe Hemel 

This ttistimction amet be cermied af рос bevel (ee ih ноже nel сбегать. д 
goncrl pectecien coorptes SPAN endl be poetic Speci ng Ва 
MME ethics: mn BO} ell alee cae аи | (Pete Tee cc ple 


1А-32 Intel Architecture Software Developer's Manual - очень полезная вещь для начи- 
нающего программиста 


ременных протекторах отладочные 
прерывания не просто вырублены, а 
используются для какой-либо работы, 
без которой защищенная программа 
функционировать не будет. Здесь есть 
три варианта: 1) перевести протектор 
на другие прерывания; 2) перевести 
отладчик на другие прерывания; 3) 
заставить и протектор, и отладчик ра- 
ботать на общих прерываниях. 

В первом случае нужно разобраться 
в том, как протектор использует отла- 
дочные прерывания, и попробовать 
заменить их другими, не конфликтую- 
щими с отладчиком. Например, если в 
коде протектора встречается int 1, то 
заменим его на int 20 и модифициру- 
ем вектор 20 прерывания так, чтобы 
он указывал на обработчик протекто- 
ра, после этого int 1 можно будет ис- 
пользовать для отладчика. 

Второй подход несколько сложнее, 
так как аппаратная трассировка и точки 
останова работают только на стандарт- 
ных отладочных прерываниях. Поэтому 
нам придется писать плагин к Softice'y, 
который будет вешать всплытие отлад- 
чика на свободное прерывание (напри- 
мер 20), а при установке бряка будет 
пихать в код не CC, а CD20. 

Третий подход предполагает написа- 
ние драйвера, который будет перехва- 
тывать отладочные прерывания сам и 
передавать их отладчику, после чего 
ты решишь, передавать прерывание 
защите или нет. Естественно, это тоже 
потребует написания плагина к 
Softlce'y. Я обычно придерживаюсь 
этого подхода, он особенно удобен 
при взломе Star Force, который ис- 
пользует int 3 для вызова своей вир- 
туальной машины в ringO. Этот вызов 
легко отделяется от срабатывания 
точки останова, что позволяет легко 
распределять возникающие прерыва- 
ния между защитой и отладчиком. 

А вообще это еще цветочки. В 
пподО-протекторах можно встретить 
кучу других более опасных приемов. 
Например, попробуй трассировать 
ringO-kog при ESP = О - получишь си- 
ний экран. Это связано с тем, что при 
возникновении отладочного преры- 
вания адрес возврата заносится в 
ringO-cTek потока, а если по этому ag- 
ресу не оказывается памяти, то воз- 
никает исключение. 

Или, например, можно встретить отк- 
лючение аппаратных прерываний с 
помощью перепрограммирования 
чипсетного контроллера прерываний. 
Если отладчик всплывает при выруб- 
ленных прерываниях, то остается 
только нажать reset, так как компью- 
тер зависнет намертво. Бороться с 
этим можно опять же написанием 
драйвера, который включает преры- 
вания перед вызовом отладчика. 

К сожалению, такими "сюрпризами" 
богаты все современные ringO-npoTek- 
торы, поэтому нужно уметь вовремя 
распознать и обойти их. Арсенал ан- 
тиотладочных приемов в ringO посто- 
янно расширяется, и от них спасет 
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только хорошее знание защищенного 
режима работы процессора и внима- 


вроде 


щищаемого кода, после чего, как уже 
говорилось выше, производится за- 


в несколько проходов так же, как он и 
накладывался. 


о тельный анализ кода протектора. мена всех инструкций на синонимы Для начала рассмотрим простой по- 
z Если захочешь потренироваться BO или небольшие куски кода, несущие лиморф и подумаем, как декодиро- 
- взломе ИпдО-протекторов, я написал тот же смысл. Причем замена может вать его. В качестве подопытной прог- 
х небольшой crackme, который исполь- делаться неоднократно. Число прохо- раммы я взял написанный на ассемб- 
о зует все описанные здесь приемы. Рас- дов (циклов замены) MOPCpepa назы- nepe Hello World и защитил его с по- 
< паковывается он просто, но код, прове- вается глубиной морфинга. Чем она мощью DotFix FakeSigner 2.8. В IDA 
|. ряющий серийник, спрятан с помощью больше, тем более запутанным будет получившийся код выглядит так: 
о ппдО-штучек. Закейгенить этот пример выходной код. После морфинга 
ры пока еще никто не смог, так что у тебя инструкции компилируются обратно в jmp short [ос 902003 
_ есть шанс стать первым. Crackme най- машинный код. Авторы метаморфов b OD8h 
EK дешь Ha диске с журналом. считают, что большая глубина мор- jmp short [ос 902006 
2 финга осложнит анализ кода, но мой b OBFh 

METAMOP® И ПОЛИМОРФ опыт подсказывает мне обратное. finit 
< m= Вот пример легко понятного кода: Сложность декодирования метамор- fprem 
Fe фра целиком зависит от первичного inc eax 

push eax алгоритма морфера и OT того, сколько ес вах 

push 0 комбинаций инструкций OH способен inc eax 

push 0 выдать Ha одну оригинальную ес вах 

push ebx инструкцию. Увеличение же числа ea ebx, [ebx+0] 

call MessageBoxA этих комбинаций повышением глуби- jmp short [ос 902015 

ны мороринга ничего хорошего не да- b OF6h 
A если вместо этой гениальной ет: все равно после написания анали- хог edx, edx 
простоты ты встречаешь путаницу затора можно будет снять метаморф jmp short 10с_ 902076 


xchg [edi], dl ВАНИЕ AP! 

add al, 30h . 

ха Ш Функции Native АР! являются базовыми для системы, на них 
call 1234h построена работа более высокоуровневого слоя функций kernel32. 
ыы Они доступны из пользовательского режима через ntdil.dil, но на 
or al, 4a 


самом деле функции ntdil являются только переходниками, KOTO- 
рые через интерфейс системных вызовов обращаются к соответ- 
ствующим функциям ядра. При программировании драйверов мы 
можем использовать те же Native АР! функции, что и в приложени- 
ях третьего кольца, но АР! более высокого уровня тут недоступен. 
Также на этом уровне в наши руки попадают многие функции, экс- 
портируемые ядром и предназначенные для использования только 
в драйверах (прослойка Kernel API). В Native АР! пользовательско- 
го уровня есть пары аналогичных функций, отличающихся только 
префиксами Zw и Nt. Там они имеют разные названия, но одну и ту 
же точку входа. На уровне ядра также существуют аналогичные 
пары функций, но между ними имеется одно различие: функции с 
префиксом Zw производят перед выполнением действия проверки 
системы безопасности (прав пользователя), а функции с префик- 
сом Nt - нет. 


знай, что ты встретился с метамор- 
дом или полиморором в защите. По- 
лиморф обычно просто добавляет в 
код мусорные инструкции, чтобы зат- 
руднить дизассемблирование и ана- 
лиз кода, а метаморф старается цели- 
ком изменить вид кода, сохраняя при 
этом оригинальный алгоритм его ра- 
боты, для чего он заменяет инструк- 
ции их синонимами, состоящими в 
свою очередь из одной или несколь- 
ких других инструкций. Большая 
часть нового кода, производимого ме- 
таморором, обычно нужна для работы 
программы, доля мусорного кода у He- 
го весьма мала. У полиморсра все нао- 
борот. Естественно, декодировать ме- 
таморф значительно сложнее. Преж- 
де чем делать это, нужно разобрать- 
ся, как он работает. 

Сердцем любого метаморора обяза- 
тельно является дизассемблер. С его 
помощью происходит разделение за- 
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Здесь мы видим пример использова- 
ния простейшего полиморора. 
Инструкции программы разносятся на 
разное расстояние, соединяются с по- 
мощью jmp, а промежутки заполняют- 
ся мусорными инструкциями. В дан- 
ном случае весь приведенный код 
представляет собой мусор, о чем не- 
трудно догадаться, однако начинаю- 
щих крэкеров это может сбить с тол- 
ку. Еще в этом полиморфе можно 
встретить редкие $ЕН, но автор даже 
не пытался их замаскировать - их не 
увидит только слепой. Для декодиро- 
вания этого полиморора необязатель- 
но использовать полноценный дизас- 
семблер - достаточно дизассемблера 
длин и таблицы мусорных шаблонов. 
Алгоритм такой: проходим дизассемб- 
лером длин по инструкциям програм- 
мы, переходим по jmp и собираем 
весь код (кроме jmp) где-нибудь в па- 
мяти. После этого по шаблонам удаля- 
ем мусорные инструкции. Вот и все - 
nonumopcp декодирован. FakeSigner, 
кстати, предназначен для затрудне- 
ния определения упаковщика, кото- 
рым сжат исполняемый файл, и, по 
идее, нельзя определить наличие са- 
мого дотфикса. К сожалению, код это- 
го полиморфа настолько специфи- 
чен, что написать программу, опреде- 
ляющую его, будет проще простого. 
Если хочешь потренироваться в раз- 
боре полиморфров, рекомендую на- 
чать именно с этого. 

Несомненно, при взломе сложных 
защит тебе придется столкнуться с 
метаморфром, а это штука даже непри- 
ятнее, чем простой полиморф. Для 
декодирования метаморсра нужно Ha- 
писать сложный анализатор, который 
содержит в себе дизассемблер, раз- 
бирающий инструкции, и деморфер, 
реализующий алгоритм, обратный 
морферу. Простейший алгоритм раз- 
бора метаморсра состоит в анализе 
близкорасположенных инструкций и 


определении того, как они в целом 
повлияют на регистры и память. Пос- 
ле этого преобразование повторяется 
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А вот и мой дизассемблер 


go получения кода наименьшего раз- 
мера. К примеру, группу add eax, 
5/sub eax, 4 можно превратить в inc 
eax. Этот метод называется многопро- 
ходной оптимизацией и применяется 
для реверсинга простых метаморсров. 
В более сложных случаях зависимые 
команды могут быть отделены кучей 
мусора или перемешаны с кодом про- 
тектора. И тут на помощь придет 
только частичная эмуляция участков 
кода на виртуальной машине и фор- 
мирование кода на основе изменений 
состояния ВМ на определенных от- 
резках кода. 

Формируется таблица измененных 
состояний и зависимостей между ни- 
ми, после чего производится перег- 
руппировка элементов таблицы таким 
образом, чтобы независимые элемен- 
ты находились в одном месте. Далее к 
таблице применяется метод многопро- 
ходной оптимизации, который значи- 
тельно сокращает число ее элемен- 
тов. По сокращенной таблице строит- 
ся цепочка инструкций, соответствую- 
щая изменениям, записанным в ней, и 
эти инструкции компилируются в ма- 
шинный код. Это один из алгоритмов, 
которые можно использовать при 
анализе действительно сложного ме- 
таморфа. Можно поступить и по-дру- 
гому: писать не эмулятор, а трасси- 
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Дизассемблируем программулину, защищенную DotFix FakeSigner 


ровщик, анализирующий путь испол- 
нения программы и строящий таблицу 
изменений на основе этих данных. 
Как показывает практика, написать 
полноценный эмулятор чрезвычайно 
сложно, поэтому приходится комбини- 
ровать эти способы. В некоторых по- 
лиморорах и метаморорах можно 
встретить весьма хитрые методы за- 
путывания кода, связанные с нестан- 
дартными опкодами инструкций. Боль- 
шинство современных дизассембле- 
ров и отладчиков могут неправильно 
дизассемблировать код, содержащий 
множественные префиксы либо не- 
верное значение в поле Reg байта 
MOD г/т для Extended группы опко- 
дов. В качестве примера можешь 
взять байты C7 FO 34 12. Большин- 
ство дизассемблеров (IDA в том чис- 
ле) дизассемблируют это как Mov eax, 
12348, а на самом же деле это INVALID 
OPCODE. Такие инструкции могут ис- 
пользоваться в защите для неявного 
вызова обработчика SEH, поэтому при 
создании дизассемблера следует 
учесть их. Для анализа таких инструк- 
ций в качестве образцового можно 
использовать мой дизассемблер, ко- 
торый лежит на диске (если найдешь 
в моем детище ошибку, обязательно 
сообщи мне). 

Качественный метаморср ты мо- 
жешь найти в ExeCryptor'e. Он имеет 
большой разброс генерируемых 
инструкций, самомодифицирующийся 
код и много SEH. Все это приправлено 
немалой глубиной морсринга. Декоди- 
ровать его сложно, но в этом нет ни- 
чего невозможного. Попробуй. 


АНАЛИЗ ВИРТУАЛЬНЫХ 
МАШИН 

и В самых крутых защитах (в част- 
ности StarForce 3 Pro) можно встретить 
следующий прием: часть кода защи- 
щаемой программы и самой защиты 
переводится в псевдокод и исполняет- 
ся на виртуальной машине. Для полно- 
го снятия такой защиты нужно восста- 
НОВИТЬ ЭТОТ KOG, а значит, придется ис- 
следовать ВМ и разбираться в алгорит- 
мах ее работы. В общем случае ВМ, 
применяемые в защитах, делятся на 
два типа: эмулирующие исполнение 
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псевдокода и использующие вызовы 
орункций ВМ из native-Koga. 

В первом случае виртуальная маши- 
на получает код операции и по своим 
таблицам определяет производимые 
действия. Исполнение псевдокода 
полностью эмулировано в цикле ра- 
боты машины. 

Во втором случае формируется код, 
который GNA выполнения каких-либо 
действий напрямую вызывает функ- 
цию ВМ. То есть mov eax, ebx/mov 
есх, е4х может превратиться в нечто 
подобное mov eax, 10h/call 
vm_mov/mov eax, 20h/call vm_mov. 
Трудно сказать, какой их этих типов 
ВМ сложнее для взлома, так как все 
зависит от конкретной реализации. Я 
считаю, что самой сложной будет 
комбинированная реализация, при 
которой часть кода полностью эмули- 
руется ВМ, часть превращается в вы- 
зовы ее функций, а остаток подвер- 
гается метаморофному преобразова- 
нию. По общим методам анализа ВМ 
никаких рекомендаций тоже не дам, 
потому что все целиком и полностью 
зависит от ее реализации. Единствен- 
ный метод взлома - долгая и упорная 
медитация над кодом машины и ос- 
мысление всего происходящего в 
ней. И большой запас терпения. 

Можешь попрактиковаться, напри- 
мер Ha VMProtect - простом протекто- 
ре. Если захочешь чего-нибудь пос- 
ложнее, бери Star Force 3 Pro - за- 
щиту с ВМ комбинированного типа, 
которая к тому же работает и в ring3, 
ив ringO. 


ДИНАМИЧЕСКАЯ 
РАСШИФРОВКА КОДА 

и Несомненно, самый старый, но go 
сих пор применяемый прием - это ди- 
намическая расшифровка кода. Его 
суть в том, что код защищаемой прог- 
раммы расшифровывается не сразу, 
а по мере его исполнения. Например, 
Armadillo со включенным CopyMem 
расшисррует только первую страницу 
программы и передаст ей управле- 
ние. Когда та обратится к еще не рас- 
шифрованным данным, возникнет 
исключение, по которому протектор 
расшисрует еще часть кода, зашиф- 
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ровав старый. Таким образом, весь 
код программы никогда не присут- 
ствует в памяти, а значит, его нельзя 
сдампить. 

Для борьбы с армадилой многим 
приходилось реверсировать весь код 
протектора, чтобы заставить его рас- 
шифровывать защищенную програм- 
му полностью. Но это весьма долгий 
и тяжелый путь, поэтому я ломал ар- 
мадилу по-другому. Если процесс 
нельзя сдампить снаружи, почему не 
сделать это изнутри? Для этого нуж- 
но записать код дампера в адресное 
пространство процесса с помощью 
WriteProcessMemory и выполнить его, 
перенаправив контекст одной из ни- 
тей процесса (с помощью 
SetThreadContext) на наш код. 

Дальше внедренный в защищае- 
мую программу дампер должен прос- 
то пройтись по секции кода и сбро- 
сить ее на диск. На CopyMem можно 
смело забить болт, так как при отсут- 
ствии страницы в памяти протектор, 
думая, что к ней обратилась сама за- 
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щищенная программа, будет вынуж- 
ден расшифровать ее и отдать наше- 
му дамперу в готовом виде, так что 
Armadillo is fucking yourself. К сожа- 
лению, не все протекторы ломаются 
так же просто, как армадилла. Напри- 
мер, ExtremeProtector расшифровы- 
вает код не по обращению к занимае- 
мой им памяти, а по исполнению это- 
го кода, что сильно затрудняет его 
нахождение. Здесь хочешь не хо- 
чешь, но приходится лезть в сам ал- 
горитм работы протектора. 


АППАРАТНЫЕ КЛЮЧИ 

и Существует определенный класс 
программных продуктов, предназна- 
ченных для узкого круга пользовате- 
лей и при этом очень дорогих. Это, 
например, корпоративные системы 
для работы с базами данных, биллин- 
говые системы для провайдеров, спе- 
цифические программы, применяе- 
мые на заводах, в научных лаборато- 
риях и T.g. Эти программы стоят де- 
сятки или даже сотни тысяч долла- 


Ш SMM (System Managment Mode) - режим работы процессора, no- 
явившийся еще в х86-процессорах. Особенности этого режима не 
документированы и зависят в основном не от процессора, а от чип- 
сета материнской платы. Процессор может войти в этот режим 
только аппаратно, по сигналу от чипсета, при этом обработчик SMM 
недоступен даже программам нулевого кольца. По уровню приви- 
легированности этот режим самый высокий из всех, которые вооб- 
ще возможны на х86-процессорах. 

Одна из возможностей 5ММ, обеспеченных чипсетами - это вызов 
обработчика при обращении к портам ввода/вывода. Эта возмож- 
ность предназначена именно для программной эмуляции оборудо- 
вания, и ее можно использовать для эмуляции аппаратных ключей. 
Но, к сожалению, на различных чипсетах эта возможность реали- 
зована по-своему, а на каких-то просто отсутствует. На некоторых 
чипсетах (например nForce фирмы Nvidia) вся информация про 
SMM засекречена и никому не выдается. По умолчанию обработчик 
SMM устанавливается BIOS'om и управляет работой кнопки Power 
на системном блоке. К сожалению, некоторые В!О$'ы блокируют 
возможность установки своего обработчика SMM, поэтому для ра- 
боты эмулятора на таких компьютерах потребуется модификация 
BIOS (о ней читай в июньском "Хакере"). 


VMProtect - пример простого протектора, использующего 


виртуальную машину 
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Полиморф ExeCryptor'a превращает код программы в кучу SEH 


ров. Убытки автора обычных шарова- 
рок от взлома весьма велики. Но у 
этого класса программ круг пользова- 
телей настолько узок, что в условиях 
российского пиратства и при наличии 
крэков у авторов не было бы возмож- 
ности продать даже одну копию. В та- 
ких случаях обычно прибегают к ап- 
паратным ключам. Они обеспечивают 
привязку программы к специальному 
устройству, подключающемуся к USB 
или LPT, и при правильной реализа- 
ции могут сильно усложнить взлом 
защиты. Несомненно, лидером про- 
даж сейчас являются аппаратные 
ключи HASP. Фирма Aladdin Software 
Security выпускает целую линейку 
ключей, предназначенных как для 
USB, так и для LPT и отличающихся 
принципами своей работы. 

Так как же работают аппаратные 
ключи? В простейшем случае к 
программе подключается модуль, 
который проверяет наличие ключа 
и сообщает программе результат. 
Кроме проверки наличия, могут так- 
же проверяться значения чисел, 
хранимых в нем, либо они будут ис- 
пользоваться для расшифровки 
кода программы. Как же бороться с 


этим? Если применяется простая 
проверка наличия ключа, эта борь- 
ба будет не напряженнее, чем с 
проверкой серийника: нужно прос- 
то найти код, вызывающий провер- 
ку, и отключить его. 

В более сложных случаях можно 
заменить код библиотеки, которая 
используется для работы с ключом, 
на свой, в котором позже проэмули- 
руешь ответы ключа. Перед этим 
нужно перехватить исполнение этого 
кода, получить все значения зап- 
рос/ответ, которыми обмениваются 
ключ и программа, занести их в таб- 
лицу, по которой потом будет идти 
эмуляция. Этот метод называется ме- 
тодом табличной эмуляции. Програм- 
мы с плохо навешенным хаспом 
очень хорошо поддаются ему. Но, к 
сожалению, в реале встречаются да- 
леко не такие простые случаи. Иног- 
да защиту делают программисты, ко- 
торые в этом деле действительно по- 
нимают (это можно увидеть на при- 
мере защиты 1С). Копать саму прог- 
рамму, защищенную такими профи, 
действительно трудно, и проще все- 
го подойти к делу с другой стороны - 
эмулировать ключ на низком уровне. 


Попробуй сдампить процесс, защищенный Xprot'om 


Электронный ключ HASP для USB 


С ключом обычно идет драйвер, ко- 
торый обрабатывает запросы прог- 
раммы и возвращает ответы ключа. 
Этот драйвер тоже неплохо защи- 
щен, поэтому нужно работать ниже - 
непосредственно с самим оборудова- 
нием. Если попался У$В-ключ, то 
можно считать, что тебе очень по- 
везло, так как защита с USB работа- 
ет не напрямую, а доверяет это дело 
системным драйверам. А незащи- 
щенные системные драйверы - это 
хорошее место для внедрения наше- 
го эмулятора. Проще всего будет за- 
менить точки входа в обработчики 
1ВР-драйвера USB Tak, чтобы направ- 
ляемые ему запросы попадали нам, 
после чего можно фильтровать их и 
эмулировать ответы ключа. Для это- 
го тебе придется изучить работу яд- 
ра системы и научиться программи- 
ровать драйверы - от этого никуда не 
денешься. 

Более сложный случай - ЕРТ-ключ. 
Драйверы защиты работают с ним 
напрямую через порты, что сильно 
затрудняет эмуляцию. Я пока знаю 
только два рабочих способа эмуля- 
ции такого ключа: это изменение ко- 
да защитного драйвера и перехват 
обращений к портам с помощью 
SMM. Первый способ проще, но тре- 
бует хорошего знания методов ре- 
версинга, а второй позволяет сде- 
лать универсальный эмулятор, но 
здесь есть неприятность: он будет 
сильно зависеть от используемого 
железа. Самое трудное, что может по- 
пасться - это последнее поколение 
аппаратных ключей, которые хранят 
в себе часть кода защищенной прог- 
раммы, и достать его оттуда програм- 
мным способом не представляется 
возможным. Единственное, что дела- 
ет взлом таких ключей возможным - 
это низкая скорость работы такого 
кода. Это означает, что в ключ будут 
помещать код не критичной gna ра- 
боты программы, а выполняющий ка- 
кие-либо вспомогательные действия. 
Такие куски кода можно просто напи- 
сать самостоятельно. 


ПАРА СЛОВ НА ПРОЩАНИЕ 

п Забавно, но во взломе сложных 
защит практически нет ничего 
действительно сложного - нужен 
лишь подход ко всему с умом. Наде- 
юсь, после прочтения этой статьи ты 
уже не будешь тормозить всякий раз, 
встретив что-то посложнее аспака, а 
спокойно и хладнокровно возьмешь- 
ся ломать. Пробуй, тренируйся, если 
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УПАКУЕМ ЗА РАЗ! ) 


GPcH (admin@dotfix.net) 


ОБЗОР УПАКОВЩИКОВ 


акеров наплодилось немало. Почти каждый кодер, разобравшийся в формате РЕ, считает своим долгом написать 
К свой собственный упаковщик, превосходящий по тем или иным характеристикам все существующие. Порой он 
добавляет в пакер простые антиотладочные механизмы, придумывает что-нибудь новенькое неприятное для крэкера, и 
его упаковщик уже называют протектором. В общем, этот обзор поможет тебе разобраться в том, какие пакеры и 
когда лучше использовать, как при необходимости быстро снять их. 


УРХ BY MARKUS 


OBERHUMER & 


LASZLO MOLNAR 


и Данный пакер, gy- 
маю, знают все. Его 
последняя версия - 1.93. Довольно 


неплохо пакует, здорово развивается. 


На сайте разработчика лежит почти 


полный исходный код упаковщика 
(без библиотеки NRV). И сам пакер, и 
упакованные им ЕХЕ-сфайлы запуска- 
ются под всеми версиями Windows. 
Если говорить о степени сжатия, то 
программа поддерживает девять ре- 
жимов упаковки. Тот, который пакует 
быстрее, сжимает хуже, и наоборот. 
Но даже на максимальном режиме 
UPX не удерживает первенство по 
крутости упаковки, хотя вполне на 
уровне. В плане распаковки все от- 
лично, пакер сам поддерживает эту 
возможность и без труда может вос- 
становить gO исходного состояния об- 
работанный им же сфайл (ключ коман- 
дной строки "ирх -4 «имя файла>"). 
URL: hittp://upx.sourceforge.net 


ASPACK BY ALEXEY 
SOLODOVNIKOV 

и Тоже знаменитый пакер. Послед- 
няя версия - 2.12. Развитие этого упа- 
ковщика прекратилось довольно дав- 
но, он уже несколько лет не обнов- 
лялся, хотя по-прежнему использует- 
ся многими. Пакует средне. Лучше 
всего жмет ВерН!-программы. Имеет 
два режима сжатия: "обычное" и 
"максимальное". Разработчики не об- 
делили его и многоязычным интер- 
фейсом, а также некоторыми функци- 
ями для настройки. Ни о каких исход- 
никах речи не идет: программа расп- 
ространяется по шароварному типу и 
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требует денег для регистрации. Что 
касается распаковки, на сегодняшний 
день мне известно более десяти уни- 
версальных распаковщиков ASPack'a, 
лучшие из которых, на мой взгляд, 
это Caspr и Stripper v2.7 (v2.11 и стар- 


ше не предназначены для снятия 
ASPack'a). 
URL: wwwaspack.com 


EXE32PACK BY STEELBYTES 

и Довольно редкий пакер. Mocneg- 
няя версия, которую мне удалось най- 
ти - 1.38. Упаковщик несколько лет не 
обновлялся, но при этом довольно 
неплохо пакует и оптимизирует Cpai- 
лы. Интерфейс программы консоль- 
ный. Как я понял, разработка коммер- 
ческая, но куда перечислять деньги 
для покупки, непонятно. Степень сжа- 
тия иногда даже больше, чем у UPX. 
Совместимость тоже ничего: все тес- 
тируемые ЕХЕ-файлы работали у ме- 
ня и на линейке \М/пох, и под ХР. Рас- 
паковщиков для данного пакера я не 
встречал. 


FSG ВУ BART/XT 

и Упаковщик, популярный в кругах 
крэкеров и демомейкеров. Последняя 
версия - 2.0. С прошлого года не об- 
новлялся, хотя, как мне кажется, 


лишь потому что не было повода gna 
этого. Отличное решение для упаков- 
ки маленьких программ, написанных 
на ассемблере или С\С++. Наверное, 
главная особенность данного пакера - 
размер его загрузчика, составляю- 
щий всего 158 байт, которых реально 
хватает для полноценной распаковки 
и создания импорта. Такую оптимиза- 
цию можно увидеть, наверное, только 
в FSG. Степень сжатия изменять нель- 
зя, при этом установленная по умол- 
чанию обходит почти все пакеры из 
данного обзора, а иногда и вообще 
все имеющиеся. Совместимость на 
очень высоком уровне. Распаковщи- 
ков специально для последней вер- 
сии не видел, но generic ипраскегы 
распаковывают его на ура. Движок 
упаковщика - aplib. 

URL: www.xtreeme.prv.pl 


MEW BY NORTHFOX 

и Малоизвестный в программерской 
среде, хорошо развивающийся пакер. 
Последняя версия - 1.1.2. Программа 
имеет отличную степень сжатия. 
Главная особенность и крутость этого 
упаковщика заключается в использо- 
вании одновременно двух движков 
упаковки - ар и |7та. Последний из 
них применяется в архиваторе 77 и 
уже давно известен своей мощ- 
ностью сжатия. Но этот движок Meg- 
ленный, поэтому запакованные прог- 
раммы хоть и имеют меньший, если 
сравнивать с показателями других па- 
керов, размер, зато тормозят при за- 
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у Horihios 
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грузке, что, несомненно, минус. OgHa- 
ко можно отключить Izma в настрой- 
ках пакера - грузиться будет быстрее, 
но и размер увеличится. Выбирай сам, 
что для тебя важнее - размер или ско- 
рость. Распаковщика для последней 
версии я не видел, HO generic unpack- 
er'bl опять на высоте, да и руками pac- 
паковать несложно, главное - уметь. 
URL: http://northfox.uw.hu 


NEOLITE BY NEOWORX INC 

и Еще один малоизвестный пакер. 
Последняя версия - 2.0. Не обновлял- 
ся уже пять с лишним лет, и все о нем 
уже забыли. Работает неплохо, имеет 
много настроек, умеет распаковывать 
упакованные им же файлы. Главная 
особенность - умение сжимать не 
только код, но и экстраданные, что 
пригодится при паковке программ, на- 


NeoLite Бу NeoWorx тс 


писанных Ha FoxPro, и роликов, сде- 
ланных Ha Flash'e. Программа коммер- 
ческая, поэтому все упакованные 
программы при запуске выдают диа- 
лог с сообщением о незарегистриро- 
ванности. Защищенные Demo-Bepcu- 
ей программы работают под всеми 
Windows. 

URL: www.neoworx.com 


NSPACK BY LIU XING PING 

и На мой взгляд, лучший пакер и по 
сжатию, и по совместимости. Послед- 
HAA бесплатная версия - 1.3, nocneg- 
няя платная - 2.3. Его автор вовремя 
понял, что такой классный компрес- 
сор нельзя распространять бесплат- 
но. Пакер динамично развивается, хо- 
тя кроме изменения интерсрейса я ма- 
ло что могу сказать об улучшениях 
платной версии - бесплатный v1.3 ни- 
чуть не хуже. Все это благодаря не 
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nSPack Бу Liu Xing Ping 


только использованию двух движков 
упаковки, ар! и [хта, но и их опти- 
мальному применению. В общем, must 
have. Специальных распаковщиков 
нет, однако generic берут его без 
проблем. 

URL: www.nsdsn.com 


PECOMPACT BY BITSUM 
TECHNOLOGIES 

m= Довольно известный пакер. Пос- 
ледняя версия - 2.5. Имеет немало ин- 
тересных фишек, к примеру пакетное 
сжатие. Ты можешь выбрать для сжа- 
тия сразу несколько программ и запа- 
ковать их в момент. Еще одной отли- 
чительной чертой является широкий 
выбор движков сжатия данных. Среди 
них есть и уже известные aplib и |7тта, 
и свой - Нсе. Совместимость замеча- 
тельная: программы нормально запус- 
каются под всеми поддерживаемыми 
Windows. Главный минус, который ог- 
раничивает использование этого па- 
кера - его платность. А платить любят 
не все. Что касается распаковщиков, 
есть UnPecompact Бу yoda/f2f. Также 
неплохо с задачей справляется уни- 
версальный quick unpack \0.7. 
URL: www.bitsum.com 
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PECompact by Bitsum Technologies 


ЧТО ТАКОЕ GENERIC UNPACKER? 


Ш Generic Unpacker'bl - это универсальные распаковщики, KOTO- 
рые, в принципе, могут кое-как распаковать любой пакер и восста- 
новить таблицу импорта. Ясен пень, такие распаковщики не ребил- 
дят ресурсы, поэтому если ты хочешь распаковать программу для 
ее последующей русификации в Restorator'e, то они не помогут, 


хотя сэкономят время для взломщика программных защит: ему на 
ресурсы наплевать, лишь бы код был распакован. Лучшими npegc- 
тавителями таких распаковщиков являются Quick Unpack by 
FEUERRADER, GUW by Christoph Gabler, а также плагин для распа- 
ковки программ, встроенный в файловый анализатор РЕГ. Какой 
из них круче, решишь сам. 


PEQUAKE BY 
FORGAT/UNKNOWN 

и Прикольный китайский упаков- 
щик. О версии ничего сказать не могу, 
так как он релизился всего один раз и 
TO не на сайте разработчика, а на ‹ро- 
руме. Почему я решил описать его? 
Да потому что это интересный пакер, 
хотя сжимает он средне. Главным 
приколом является то, что автор обо- 
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PEQuake by fORGA T/Unknown 


шел тормознутость движка сжатия 
statusbar'om, который каждый раз 
пробегает по экрану при загрузке 
EXE-cpaiina. Забавно, что сказать. Рас- 
паковщик к нему тоже есть, но в виде 
скрипта к Olly Debugger'y, который на- 
писал Mario555. Программ, упакован- 
ных этим пакером, не встречал. 


PESPIN BY CYBERBOB 

и Новый здорово развивающийся 
пакер. Последняя public-Bepcua - 1.1. 1.2 
уже есть, но автор ее не распростра- 
няет. Упаковщик бесплатен и работа- 
ет, как и большинство других, под 
всеми версиями Windows. Главный 
минус: запакованные программы жут- 
ко тормозят даже на четвертом пне. 


PESpin by cyberbob 


Используемый движок - aplib. Pacna- 
ковщика к новой версии я не видел, 
но ребята с форумов уже давно рас- 
паковали сам пакер, отсюда вывод - 
нужно уметь распаковывать програм- 
мы руками, а не ждать, пока выйдут 
автораспаковщики. 

URL: http://pespin.w.interia.pl 


PEX BY ВАВТ^СВАСКРЕ 

и Практически никому не известный 
пакер. Последняя версия, которую я 
видел - 0.99 beta. Он меня очень по- 
радовал. Пакует не сильно, зато расп- 
ространяется с исходником на ассемб- 
лере, поэтому, если знаешь ассемб- 


лер, можешь смело доработать пакер » 


Немало новых 
пакеров ты смо- 
жешь найти на 
WWW.wasm.ru B 
pasgene 
"Инструменты". 


Множество 
старых 
упаковщиков 
откапывай тут: 
www.exetools.com. 
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Очень рекомен- 
дую сходить Ha 
FTP нашей ко- 
манды down- 
load.int3.net 
или напрямую 
на 
www.int3.net. 
Здесь немало и 
новых, и ста- 
рых упаковщи- 
ков, плюс ко 
всему это, на- 
верное, един- 
ственный ftp, 
где лежат почти 
все версии UPX. 


У тебя есть 
шанс найти на 
диске все прог- 
раммы обзора - 
рискни ;). 


(С слом | УплюЕМЗАРАЗ ) 


под себя и пользоваться. Упаковщик 
умеет протектить код от распаковки, 
из-за чего не могу не порекомендо- 
вать его тем, кому нужен бесплатный 
пакер/протектор с возможностью go- 
работки. В качестве движка, как обыч- 
но, используется aplib. Распаковщи- 
ков не видел, как и программ, упако- 
ванных данной утилитой. 

Если варуг будешь пользоваться им, 
не забудь поставить в настройках гал- 
ку "Loader code alignment(Req. for 
WinNT)", иначе приложения, пакован- 
ные под МТ, не будут работать. 


PKLITE32 BY PKWARE 

Наверное, старейший упаковщик, 
известный еще со времен MS-DOS. С 
переходом на Win32 утилита стала 
шароварной. Последняя версия, кото- 
рую я видел, датирована 1999 годом, 


и стех пор пакер не обновлялся. Ре- 
комендую посмотреть его лишь чтобы 
знать, с чего все начиналось. Особых 
настроек и крутого сжатия тут нет, но 
какой крутизны можно ждать от этого 
старого средства? Распаковщики 
есть, но толку от них я не вижу: пакер 
все равно не используется. 


TELOCK ВУ TE! 

Довольно известный пакер/про- 
тектор. Время от времени впадает в 
развитие. Особенно известны его вер- 
сии 0.71 и 0.98. Кроме паковки, tElock 


умеет неплохо защищать код от рас- 
паковки, хотя распаковщики все рав- 
но были написаны, и найти их на прос- 
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МНЕНИЕ ЭКСПЕРТА 


торах Сети не составит труда. В каче- 
стве движка автором был использо- 
ван так любимый всеми aplib. Интер- 
фейс удобный, настроек много, free- 
ware. В общем, советую скачать хотя 
бы для того, чтобы посмотреть. 

Пакер легко ищется поисковиками, 
несмотря на то, что сайта у него нет. 
Если будешь искать распаковщики, то 
обрати внимание на 
WKT_tElock_Dumper. Если не поможет, 
поищи tEunlock - тоже довольно не- 
плохо распаковывает. Если и он не 
справится, то знай, что скриптов для 
Olly для распаковки написано немало, 
в том числе оля этой утилиты. 


UPACK ВУ DWING 

и Новый, динамично развивающий- 
ся пакер. Уже начинает обходить 
nSpack. Последняя версия на момент 
написания статьи - 0.22 beta. 
Действительно мощно жмет и оптими- 
зирует файл. Одно то, что импорт кла- 
дется в заголовок, уже заставляет за- 
думаться над тем, насколько хорошо 
автор решил провести оптимизацию. 
В качестве движка используется 
только [7та (наверное, поэтому и 
жмет хорошо). Совместимость тоже 
на уровне, хотя автор пишет: "So if it 
does't pack ап exe-file, {гу UPX first. If 
UPX can pack it normally, send the origi- 
nal exe-file to me. Remember that it 
can't pack some weird exe-files. So 
you'd better backup your exe-file before 
packing it.". Настроек мало, но они и 
не нужны, так как все пакуется быст- 
ро и качественно. Пакер консольный, 
и это особенно удобно: прописал его 
один раз в батник, компилящий прог- 
рамму, и забыл. 
URL: http;//dwing spymac.net 


WWPACK32 BY PIOTR WAREZAK 
AND RAFAL WIERZBICKI 

и Еще один старенький шаровар- 
ный пакер с документацией на 2 Мб. 
Зачем такая дока? Видимо, маркето- 
логи решили, что так можно будет по- 
высить объем продаж. Что ж, когда 
пакеры только зарождались, на этом 
реально можно было заработать. Сей- 
час же есть куча бесплатных упаков- 
щиков, и заработать в условиях такой 
конкуренции очень сложно. 
Возможности пакера весьма станда- 
ртны, хотя есть и интересные момен- 
ты. Например, в программе присут- 
ствует встроенный проводник, из ко- 


oF) EO © $ т 
Sei FQ Я 
ЕСТ = Mask: [PE structure EXE and DLL] 7] 
folder: C:VASM\C++\BIN 
name ake modified [р [type a 
=) 2005-03-17 2:37:30 Directory 
23 015А5М 2005-03-17 2:37:32 Directory 
en exe 70144 2004-12-13 21:19:38 ? Win32EXE 
|7] addonreg. exe 10272 1997-03-25 5:02:00 ? Win32EXE 
сс. exe 851968 — 1997-03-25 5:02:00 ? Win32 EXE 
Pl bee a2. exe 700416 1397-03-25 5:02:00 ? Win32 EXE 
|B bow. exe 1469984 = 1997-03-255:02:00 ? Win32EXE 
[=] bewaddon dil 180256 — 1997-03-25 5:02:00 + Win32DLL 
[Е bewdbg 91 144928 — 1997-03-25 5:02:00 + Win32DLL 
[=] bewdbgv.dll 917024 — 1397-03-25 5:02:00 + Win32DLL 
Е] bewdbk32 dil 231968 — 1997-03-25 5:02:00 + Win32DLL 
[=] bewdki.dll 431136 1997-03-25 5:02:00 + Win32DLL а 
| This is UNREGISTERED SHAREWARE demo version: ple 
Ready: found 108 Win32 EXE/DLL files _ Compression: fast (3) Mode: auto Strip: yes 


WWPack32 by Piotr Warezak and Rafal 
Wierzbicki 


торого можно выбрать файлы gna 
упаковки. Кроме всего прочего, име- 
ется целых 20 режимов сжатия. Не 
обольщайся: nSpack и Upack комп- 
рессят ЕХЕ-файлы все равно круче, 
хотя и не имеют всех этих наворотов. 
В общем, посмотреть пакер стоит, но 
пользоваться - вряд ли: он староват 
для сегодняшних запросов к степени 
сжатия. 

URL: www.webmediaplAvwpack32 


GHF PROTECTOR BY GPCH 

и Да, это не опечатка: автор этого 
пакера/протектора действительно я. 
Он был написан мной на основе двух 
орепзоигсе-движков. В качестве упа- 
ковщика используется AHPack (его в 
свою очередь использует aplib), а в 
качестве протектора кода от распа- 
ковки - Morphine. Несмотря на то, что 
движки разные, я все-таки смог сов- 
местить их и написать нормальную 
утилиту. Естественно, программа 
бесплатная и распространяется с ис- 
ходниками на Delphi. Так что смело 
можешь переписывать ее под себя, 
главное - не забывай о лицензии 
GNU GPL, если решишь распростра- 
нять свою доработку. С помощью мо- 
его пакера можно и упаковать, и за- 
щитить, можно сделать и то, и другое. 
В опциях это изменяется легко, так 
же, как и возможность не удалять из 
ресурсов программы иконку и ХР 
Manifest. Совместимость на уровне 
75%: иногда бывают косяки с некото- 
рыми ЕХЕ-файлами, но в общей мас- 
се этого не заметно. К моменту напи- 
сания статьи нашелся человек, кото- 
рый написал распаковщик к данному 
пакеру, который называется СНЕ 
UnProtector и лежит там же, где и сам 
упаковщик. 
Ну а чтобы не было лишних вопросов 
к названию, объясню: программа бы- 
ла названа по первым буквам ников 
его разработчиков GPCH, Holy_Father 
(автор Morphine'a), FEUERRADER (ав- 
тор АНРАСК'а). 
URL: http//reversing.dotfixnet 


ВЫБЕРИ СЕБЕ УПАКОВЩИК 

п "Какой же пакер выбрать," - спро- 
сишь ты? Вопрос сложный. Из прове- 
ренных и хороших рекомендую UPX и 
FSG. Если нужно экстрасжатие, хватай 
nSpack или Ураск. Первый тестировал- 
ся мной на многих осях - глюков не за- 
мечено, очень советую. Если есть же- 
лание не только запаковать, но и нем- 
ного защитить файл, причем бесплат- 
но, бери tElock или СНЕ Protector. Если 
нужен пакер, легко дорабатывающий- 
ся под себя и распространяющийся в 
исходниках, то тут все зависит от того 
языка программирования, который ты 
знаешь. Если это Delphi, то используй 
СНЕ Protector, если это ассемблер - те- 
бе наверняка придется по душе Рех. 
Свой выбор я уже давно сделал в 
пользу nSpack, однако меня не сильно 
порадовало, что он стал платным и те- 
перь продается no $30 штука. Se 
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ЛОМАЕМ КПК HA WINDOWS MOBILE 


для различных мобильных устройств. 


ольшинство из нас имеют хотя бы элементарное представление о процессе взлома программ для персональных 
компьютеров. Но наверняка не каждый знает о том, как то же самое можно проделать с софтом, предназначенным 


есь материал, содержа- 


щийся в данной статье, 


приведен исключитель- 


но в учебных целях. Ис- 


пользование материа- 
лов статьи в преступных целях в пер- 
вую очередь подпадает под статьи 146 
и 273 УКРФ. Автор не несет ответ- 
ственности за возможное применение 
этой информации на практике. 

Итак, к мобильным устройствам, ко- 
нечно же, можно отнести КПК на 
Windows Mobile, Ра!тп'ы а также смарт- 
фоны и другие устройства. Общий 
подход к их взлому такой же, как и 
для ПК. Есть одно существенное отли- 
чие, которое как раз и затрудняет ис- 
следование программ под различные 
платформы на начальном этапе: все 
устройства используют различные ти- 
пы процессоров. А это значит, что в 
каждом устройстве применяется свой 
ассемблер и своя система команд. По- 
этому далее ограничусь рассмотрени- 
ем процесса взлома программ для 
КПК на основе платформы Windows. 


ОБЩИЕ СВЕДЕНИЯ 

и Для начала немного теории. Мно- 
гие характеристики и свойства, кото- 
рые я опишу, относятся не только к 
карманным компьютерам на платфор- 
ме Windows Mobile (ранее она называ- 
лась Pocket PC). В отличие от персо- 
нальных компьютеров, КПК на 
Windows Mobile используют так назы- 
ваемые АБМ-процессоры, которые ос- 
нованы на RISC-apxutektype (Reduced 
Instruction Set Computer), в то время 
как в "обычных" процессорах исполь- 
зуется CISC (Complex Instruction Set 
Computer). Ну и зачем я пишу все 
это? Положим на место подробности 
архитектуры и рассмотрим только те 
свойства, которые пригодятся в даль- 
нейшем. Во-первых, эти отличия озна- 
чают, что мнемоника и формат ассе- 
мблерных инструкций оля таких про- 
цессоров различны. Тем не менее, в 
большинстве случаев названия 
инструкций совпадают, поэтому очень 
желательно знание системы команд 
"стандартного" ассемблера. Во-вто- 
рых, RISC-apxutektypa содержит боль- 
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ше регистров, которые используются 
намного шире, чем в ПК. Для сравне- 
ния: в процессорах линейки Pentium 
свободно можно использовать четы- 
ре регистра общего назначения (еах, 
ebx, есх, ех), остальные же, такие как 
esp или ebp, трогать не рекомендует- 
ся, в то время как в АКМ-процессорах 
можно практически свободно исполь- 
зовать go 10-13-ти регистров. Осталь- 
ные важные отличия будут отмечены, 
когда мы непосредственно столкнем- 
ся с ними на конкретном примере. 

По сути, карманный компьютер - это 
такой же ПК, только малогабаритный. 
У него имеется центральный процес- 
сор, оперативная и постоянная па- 
мять, аудио- и видеоподсистемы, а 
также различные слоты расширения. 
Логично было бы предположить, что 
используемые в этих устройствах опе- 
рационные системы тоже имеют об- 
щие черты. Действительно, так оно и 
есть. КПК Ha Pocket РС используют 
OC Windows СЕ, недавно Microsoft 
переименовала OC и платформу в 
Windows Mobile, но смысл от этого не 
изменился. Структура этой ОС во мно- 
TOM схожа с версиями Windows, кото- 
рые используются в настольных ПК. 

И опишу две важные для нас осо- 
бенности Windows СЕ. Во-первых, 
Windows СЕ также имеет в своем рас- 
поряжении системный реестр. Поэто- 
му, например, информация о настрой- 
ках программы часто хранится именно 
в реестре. Bo-BTopbIx, Windows СЕ и 
версии Windows для ПК используют 
абсолютно те же имена срункций 
WinAPI, и, более того, во всех (или 
почти всех) случаях эти АР! принима- 
ют одни И Те же параметры. Следова- 
тельно, структура программ для рас- 
сматриваемых карманных компьюте- 
ров является такой же, как и для ПК, 
что значительно упрощает исследо- 
вание программ. 


ЧТО НАМ ПОНАДОБИТСЯ? 

и Для исследования программного 
кода, конечно же, понадобятся какие- 
то инструменты. Некоторые являются 
специсфическими, некоторые можно 
взять из "стандартного" набора прог- 


рамм, используемых для анализа 
софта ПК. 

Первый и главный инструмент, без 
которого не обойтись при исследова- 
нии программ всех без исключения 
КПК и телефонов - это, конечно же, 
дизассемблер IDA. Он поддерживает 
все типы процессоров, которые могут 
встретиться. Здесь важно, что прог- 
раммы для КПК используют свои DLL, 
то есть файлы типа user32.dll, исполь- 
зуемые в обычных ПК, просто не по- 
дойдут. В последней версии IDA 
Рго 4.8 эти библиотеки получают в 
наличие сразу после установки, одна- 
ко во всех предыдущих версиях их 
нет. Ищи их на сайте Wi 05, ПОСВЯ- 
щенном исследованию КПК - тут мож- 
но найти много полезных статей и go- 
кументов. 

Далее понадобится какой-нибудь 
шестнадцатеричный редактор, напри- 
мер HIEW. Также будет очень нужен 
отладчик. Вот здесь и возникает проб- 
лема: дебаггеров для отладки прог- 
рамм под КПК почти нет! Вообще-то 
можно обойтись и без дебаггера, ис- 
пользовать только дизассемблер, но 
это работает далеко не всегда. Одна- 
ко Microsoft о нас все-таки не забы- 
ли :). Они не поленились и написали 
среду разработки программ для мо- 
бильных устройств - eMbedded Visual 
С++, которая, к всеобщему счастью, 
содержит встроенный отладчик. Пос- 
леднюю версию этой среды, а также 
Service Pack (его желательно поста- 
вить) можно найти и бесплатно ска- 
чать с Wyw.microsofl.com/windowsmodile. Очень ре- 
комендую скачать там же Microsoft 
Pocket PC 2003 SDK - пригодится при 
отладке. 

Может пригодиться и какой-нибудь 
редактор ресурсов. Спешу еще раз 
предупредить: формат исполняемых 
файлов для многих типов КПК и для 
персональных компьютеров один и 
тот же. Иными словами, такие файлы 
без проблем воспринимаются станда- 
ртными программами типа Resource 
Hacker, PETools и т.п. 

Последнее, что понадобится - это 
сам КПК, если, конечно, ты собира- 
ешься отлаживать программу, а не пы- 


таться анализировать код только с по- 
мощью IDA. Также желательно иметь 
достаточно интернета, чтобы скачать 
все описанные инструменты :). 


ЭТАП ПЕРВЫЙ. 
СНИМАЕМ ОСНОВНЫЕ 
ОГРАНИЧЕНИЯ 

п Когда все необходимые инстру- 
менты установлены и находятся под 
рукой, можно приступать непосред- 
ственно к исследованию программ. 
Для примера возьмем игру Plant 
Тусооп версии 1.0, и этот выбор не 
случаен. Во-первых, игра далеко не 
новая, поэтому взломана давно, так 
что, надеюсь, мы уже не нанесем ма- 
териального ущерба ее автору. А во- 
вторых, на этой программе можно наг- 
лядно показать процесс создания 
патча. Смысл игры состоит в выращи- 
вании и скрещивании разных расте- 
ний - что-то вроде тамагочи. 

Итак, подключаем КПК к компьюте- 
ру, устанавливаем подопытную прог- 
рамму и копируем исполняемый сайл 
на ПК, чтобы можно было работать с 
ним. Затем запускаем IDA: пока она 
будет анализировать файл, будем 
разбираться с другими инструмента- 
ми. Пока открыто лишь пустое окно 
дизассемблера, поэтому выбираем 
пункт Open... иуказываем наш скопи- 
рованный файл. Появляется окно, в 
котором указываются различные оп- 
ции. Здесь выставлены опции по 
умолчанию, но нужно проанализиро- 
вать программу под КПК, поэтому 
наш главный интерес - поменять тип 
процессора. В данном случае нас за- 
интересовал ARM-npoueccop. В спис- 
ке их несколько, однако выбираем 
тип "ARM processors: ARM", так как 
он является наиболее универсаль- 
ным. Жмем ОК и, если используется 
IDA версии ниже 4.8, указываем пути 
к запрашиваемым библиотекам. Ког- 
да начнется анализ, можно свернуть 
окно дизассемблера и заняться от- 
ладчиком. 

Запускаем eMbedded Visual С++ и 
также через Ореп открываем 
ехе'шник. Сразу же над рабочей об- 
ластью находятся несколько выпада- 
ющих списков, значения в которых 
определяют режим отладки. Так как 


Выбираем тип процессора 


Точка входа в ехе 


установлен Pocket PC 2003 SDK, в 
списках должны быть соответствую- 
щие значения. В самом правом из них 
выставлен режим эмулятора, который 
требуется изменить на режим реаль- 
ного устройства, так как при отладке 
будет использоваться сам КПК. Нуж- 
но сказать, что можно было бы ис- 
пользовать и эмулятор, но он может 
попросту отказаться работать. Теперь 
все готово, осталось только запустить 
программу, поэтому жмем <Е1? (запуск 
программы в режиме пошагового ис- 
полнения). Пока происходит соедине- 
ние с устройством и загрузка файла, 
отладчик может попросить указать 
пути к некоторым библиотекам. Здесь 
можно просто жать Cancel, так как от- 
ладка от этого зависеть не будет. Ес- 
ли все прошло успешно, откроется ок- 
но с командами, а мы будем стоять на 
точке входа (Entry Point) в программу. 

Как показывает картинка, многие ко- 
манды схожи с командами ассембле- 
ра, используемого на обычном ПК. 
Единственное отличие - названия и 
количество операндов. Подробная go- 
кументация по системе команд для 
АВМ-процессоров лежит на сайте 
www.kaOs.net. Теперь, чтобы можно 
было приступить к взлому, хорошо 
было бы познакомиться с ограничени- 
ями программы, для чего нажимаем 
<F5> и наблюдаем, как запускается иг- 
ра. В описании сказано, что в незаре- 
гистрированной версии в магазине иг- 
ры нельзя покупать почти ничего - 
вот такая неприятность. Помимо это- 
го, становится не очень радостно, ког- 
да в меню находится пункт Register. 
Это все и предстоит каким-нибудь об- 
разом отключить. 

Начнем с ограничений при покупке 
вещей. Для этого открываем IDA, ко- 
торая наверняка уже успела проана- 
лизировать срайл, и в окне Strings 
window ищем строку "Please register!". 
Как оказалось, такая строка не одна - 
их целых 12! Ну что ж, попробуем пой- 
ти по какой-нибудь из них, например 
по той, чей вызов происходит по ag- 
ресу 24EF4 (это адрес смещения не в 
файле, а в памяти после загрузки 
программы). Интересно, что все эти 
строки расположены рядом со строка- 
ми, содержащими описание продукта 
в магазине. Причем все эти описания 
расположены в файле друг за другом, 
а количество продуктов, которые 
нельзя купить в магазине незарегист- 
рированной версии игры, равно числу 


ЧЕ 
Основные ограничения программы 


этих описаний. Очень хорошо. Пос- 
мотрим, где в коде имеются обраще- 
ния к этим строкам: выделяем имя пе- 
ременной, которая соответствует ка- 
кой-нибубдь из строк, из контекстного 
меню правой кнопки мыши выбираем 
Jump to xref to operand или просто 
жмем кнопку х. IDA находит только OgG- 
но обращение. Что ж, это хорошо. Что 
находится по найденному адресу? 
Всего лишь какой-то указатель на 
строку, то есть не совсем то, что нуж- 
но. Если посмотреть код прямо над 
этими строками, то можно увидеть, 
что как раз там и происходит обраще- 
ние к найденному указателю. Эта 
функция начинается по адресу IDDF8, 
и, похоже, именно в ней происходит 
инициализация строк. 

Теперь также попробуем найти, где 
происходит вызов данной функции, 
для этого выделяем строчку, содержа- 
щую loc_IDDF8, и применяем поиск 
xref (cross reference), как было описа- 
но выше. На этот раз IDA выдала два 
места, которые так или иначе связаны 
с вызовом функции. Для начала поп- 
робуем пойти по первому обращению, 
находящемуся по адресу 109СС. И тут 
мы видим некую структуру, похожую 
Ha switch в C++, то есть условный пе- 
реход, зависящий от значения какой- 
то переменной. В данном случае вы- 
ясняется, что таких состояний 18, что 
соответствует количеству предметов 
в магазине игры. Из всего делаем вы- 
вод, что выбор какого-либо предмета 
обрабатывается отдельной функцией. 

Здесь, опять же, видно, что переход 
к этому коду осуществляется условно 
где-то выше, о чем говорит пунктир- 
ная стрелка слева от надписи 
loc_1D9C8. Опять смотрим обращения 
к этому коду и находим только одно 
место по адресу 10484. Вот это уже 
больше похоже на то, что мы ищем, а 
именно переход Ha switch в зависи- 
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мости от какого-то условия с по- 
мощью условного перехода ВЕС. 
Действительно ли это одно из усло- 
вий, выводящих строку о просьбе за- 
регистрироваться? Чтобы проверить, 
открываем окно отладчика и жмем 
<CTRL>+<G> - появляется окно, в кото- 
ром нужно указать адрес, в него мы и 
хотим перейти. Но тут вводится абсо- 
лютный адрес в памяти, а не смеще- 
ние, поэтому первые три байта нужно 
посмотреть в основном окне. В дан- 
ном случае это 2CO (на разных маши- 
нах возможны разные значения), поэ- 
тому вводим 2С010484, жмем Go То и 
оказываемся на том коде, что мы ви- 
дели в IDA. Нажимаем правую кнопку 
мыши на адресе 2С010484 и выбира- 
ем пункт Insert/Remove Breakpoint, 
после этого пробуем уже на самом 
КПК, войдя в магазин игры ($Вор), 
выбрать какой-нибудь предмет. И вот 
тут-то срабатывает breakpoint. 

Теперь в окне регистров (его можно 
открыть, нажав на соответствующую 
кнопку на панели инструментов) смот- 
рим значение флага Zero, который OT- 
вечает за условный переход ВЕС. 
Здесь он равен единице, то есть пере- 
ход будет осуществлен. Два раза 
кликнем на cpnare Zero, чтобы поме- 
нять его значение на ноль, нажмем 
<F5> для продолжения работы прог- 
раммы и посмотрим результат. Отлич- 
но! Теперь вместо строки "Please ге- 
gister!" можно посмотреть цену Npeg- 
мета. Останавливаем программу в от- 
ладчике (<Shift>+<F5>). С ПОМОЩЬЮ 
Пех-редактора открываем Ha компью- 
тере "подопытный" файл и переходим 
по адресу 10484. Если используется 
hiew, то вводим "10484", так как это 
смещение не в файле, а в памяти, как 
уже упоминалось. По этому адресу на- 
ходятся байты AF 01 00 ОА, и, чтобы 
убрать условный переход в этом мес- 
те, введем предыдущие четыре байта 
FF 3010 ЕР, которые соответствуют 
команде "ANDS R3, КО, OxFF". 

Таким изменением мы просто про- 
дублируем команду, идущую go ус- 
ловного перехода, причем это никак 
не повлияет на содержание регист- 
ров. Сохраняем изменения и выходим 
из редактора. Теперь можно снова за- 
пустить этот файл под отладчиком 
(нажать в нем <F5>) и посмотреть ре- 
зультаты. Возможна такая неприят- 
ность, при которой на КПК не закачи- 


00000008 
ыы] 
a cam, @ 
мыс 


| еже я О Тата» Carre=0 
Serer? Lowa 


| Tke=0 Fics) Thusb-0 
| Неа 


Окно регистров 


ХАКЕРСПЕЦ | 08(57) | 2005 


НЕКОТОРЫЕ КОМАНДЫ АССЕМБЛЕРА 


В - Branch, безусловный переход, соответствует команде jmp 

Вхх - условный переход; частный случай - BEQ, Branch if EQual 
(флаг Z=1) 
BL - Branch with Link, вызов функции, соответствует команде Call 
LDRB - загрузка в первый операнд байта, находящийся по адресу, 


определяемому вторым операндом 


СМР - сотраге, сравнение 


Байты, отвечающие за первый условный переход 


Часто бывает легче написать 
кейген, а не патчить программу. 


вается измененный срайл, поэтому 
сначала оттуда удаляется предыду- 
щий ехе'шник (отладчик записывает 
его в корневую папку на КПК). 

Все бы хорошо, но теперь при нажа- 
тии кнопки BUY появляется надпись 
"Only available in registered version", 
что вряд ли позволит что-то купить. 
Попробуем отключить и это. Таким же 
способом, который уже был описан, 
доходим gO функции, начинающейся 
с адреса 17834 и содержащей switch, 
похожий на найденный раньше. Одна- 
ко если посмотреть, откуда вызывает- 
ся эта функция, то IDA выдаст 17 таких 
мест, так что без отладчика не обой- 
тись. Наша программа уже запущена 
под дебаггером, поэтому переходим 
(<Ctrl>+<G>) там по адресу 2C017834 
(помни, что адрес может начинаться и 
с других байт, а не только с 2С0), ста- 
вим Tyga breakpoint и в игре жмем 
кнопку BUY. После срабатывания 
breakpoint'a в отладчике открывается 
окно Call Stack (соответствующая 
кнопка находится на той же панели 
инструментов, что и кнопка открытия 
окна регистров). Там можно видеть 
два адреса: первый - на котором мы 
сейчас стоим, второй - куда будет 
произведен возврат после выполне- 
ния данной функции. В данном слу- 
чае это 2С015Е28, поэтому открываем 
IDA, нажав кнопку <G>, вводим 15728 
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Код, отвечающий за второй условный 
переход 


и смотрим код выше этого адреса. 
Как теперь дойти до функции по ад- 
ресу 15Е24? Точнее, как сделать так, 
чтобы этот вызов никогда не проис- 
ходил ;)? IDA говорит, что первым 
местом, откуда мог быть произведен 
переход к этому коду - это адрес 
15EF4. Но выполнение этого кода в 
свою очередь зависит от того, выпол- 
няется ли условие по адресу 15EE4. 
Туда и поставим breakpoint в отлад- 
чике. И что произошло? 

После установки breakpoint'a опять 
жмем <F5>, так как мы GO сих пор сто- 
им на прошлой точке останова, а в иг- 
ре нажимаем на BUY. Тогда отправит 
нас по адресу 2COISEE4, где мы и хо- 
тели остановиться. Так же, как и в 
предыдущий раз, смотрим состояние 
флага Zero. Теперь он равен нулю, 
значит, условный переход по этому 
адресу не осуществляется, и таким 
образом выполнение вполне может 
дойти до вызова функции вывода 
строки о регистрации. Меняем сфлаг 
на единицу и наблюдаем за результа- 
том. Надо же! Теперь вместо той стро- 
ки показалась надпись "You can't 
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После внесения изменений 
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ку с этой надписью. В данном случае 
номер этого ресурса равен 389 или 185 


GD 


в шестнадцатеричной системе. Это 
изображение, скорее всего, загружает- 
ся функцией LoadBitmap, поэтому ищем 
в IDA вокне Names Window эту qoyHk- 
цию. Смотрим, по какому адресу она вы- 
зывается - в отладчике ставим на этот 
адрес breakpoint. Далее вызываем глав- 
ное меню и ждем, когда сработает точка 
останова. У LoadBitmap вторым пара- 
метром является номер загружаемого 


ресурса. Тут нужно сказать, что в отли- 
чие от ПК, где параметры передаются 
через стек, КПК передает их через реги- 
стры начиная с RO. То есть нам нужно 
остановиться, когда регистр RI будет ра- 
вен 185, а gO этих пор просто жмем <F5>. 
Итак, доходим до этого момента и смот- 
рим Call Stack - функция была вызвана 
с адреса 12348, а это какая-то срункция, 
которая, если посмотреть, вызывается 


из многих мест. Поэтому ставим точку 
останова на конец этой сфункции (на ag- 
рес 12410) и жмем <F5>. Далее один раз 
<Р>, чтобы выйти из функции, и оказы- 
ваемся Ha 16FD8. Смотрим в IDA, что Ha- 
ходится по этим адресам, и видим, что 
по адресу 16FCO находится условный 
переход. 

Если он не выполняется, то вызыва- 
ется функция загрузки изображения, 
поэтому нужно всего лишь сделать 
этот переход безусловным, то есть по- 
менять байт по адресу 16FC3 c 1A на 
EA. Делаем это, как и ранее в hex-pe- 
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Ищем функцию LoadBitmap 
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- НУ И ГДЕ МОЙ КРЯКЕР ИНТЕРНЕТА? 


дакторе, обновляем срайл и смотрим 


У Name Address Р 

результат. Отлично - пункта меню 
Е GetStockObject 000000000002001С больше нет ;). В принципе, это все: 
Е GetSystemMetrics 0000000000020СЕС можно играть, и ничто не напомнит о 
Е GetTextMetricsw 0000000000020174 Е 
F GetTickCount 0000000000020108 НАПОСЛЕДОК 
Е KillTimer 0000000000020150 m Часто бывает легче написать кей- 
fae LoadB itmapw 0000000000021ЕС ани В Neale 

ти, касается и нашего примера. Но, к 

F Loadiconiw 0000000000020028 сожалению, объем статьи ограничен и 
Е Loadlmagew 0000000000020078 невозможно написать обо всем. Кейге- 
Е LoadResource 000000000002018С dee о ое 
| MessageBoxw 0000000000022120 т | 


более подробно изучить систему ко- 
MaHg. У тебя будет чем заняться в сво- 


бодное время :). 


- А ТЫ ЗАПУСТИ .EXE-LUHNK ИЗ АТТАЧА! 


Content: 


Защищаем код Ha этапе 
программирования 


74 Жизнь после 
компиляции 
Все о протекторах и упаковщиках 


80 Мануальная терапия 
Учимся легко обходить ТОЧКИ 
останова 


84 Борьба с отладчиком 
Основные антиотладочные фишки в 
user mode 


88 Навесная защита 
Разбор полетов среди систем 
защиты и упаковки Win32 PE- 
срайлов 


94 Ключик к сердцу 


Все об аппаратных ключах защиты 


ЗАЩИТА 


ПИШИ БЕЗОПАСНО ) 


Крис Касперски ака мыщьх 


ПИШИ БЕЗОП 


ЗАЩИЩАЕМ КОД НА ЭТАПЕ 
ПРОГРАММИРОВАНИЯ 


щику с дизассемблером в руках. 


сли программист хочет выжить в нашем агрессивном мире, он должен пи- 

сать свои программы так, чтобы их взлом вызывал у хакеров как можно 
больше отрицательных эмоций. Еще на этапе программирования программист 
должен задуматься о критичных для взлома местах и оформить их соответ- 
ствующим образом. Глупо надеяться на мощь навесных защит - программисту 
нужно взять процесс обороны кода в свои руки и как следует наподдать взлом- 


_4 


спользование ненадежных 


приемов программирования и 


навесных протекторов вроде 


Extreme Protector или 
Armadillo иногда создает 
проблем гораздо больше, чем решает. Порой 
защищенная программа становится неуклю- 
жей, тормозной, консфликтной и вообще вся- 
чески нестабильной. В ней появляются мно- 
гочисленные критические ошибки, вылезают 
голубые экраны смерти, в результате чего 
программист получает весьма подмоченную 
репутацию. Ну и кому это надо? Никаких не- 
документированных возможностей! Никакой 
привязки к операционной системе! Никаких 
приемов нетрадиционного программирова- 
ния! Защита должна быть простой и надеж- 
ной, как индуистский слон! Минимум усилий, 
максимум эсроективности! 


СОВЕТ №1: ШИФРУЙСЯ! 

LUncpposka - простой, но весьма эффорек- 
тивный способ борьбы с дизассемблером. Ес- 
тественно, она обязана быть динамической: 
крохотные порции кода/данных должны рас- 
шифровываться по мере необходимости, а 
после употребления зашифровываться об- 
ратно. Статические шифровальщики, рас- 
шисфровывающие все тело программы за 
один раз, уже неактуальны. Достаточно снять 
дамп с работающей программы и - вуаля! Мно- 
гие протекторы гробят таблицу импорта, коре- 
жат атрибуты секций, в общем, пакостят по 
всему мясокомбинату, в результате чего сня- 
тый дамп оказывается неработоспособен, но 
для дизассемблирования он подходит вполне, 
и такие меры защиты ни от чего не спасают! 

В реализации динамического шифровщика 
есть множество тонкостей. Если реализовать 
его в виде автономной процедуры типа 
crypt(void *p, int №), хакер сможет расшифро- 
вать любой желанный для него фрагмент 
простым вызовом crypt с соответствующими 
аргументами. Чтобы воспрепятствовать это- 
му, различные части программы должны рас- 
шисфровываться различными функциями. 
Некоторые "эксперты по безопасности" 
предлагают использовать асимметричную 
криптографию, полагая, что это убережет 
программу от модификации (то есть от взло- 
ма). Действительно, зашифровать модисфи- 
цированную программу назад уже не полу- 
чится - для этого нужно знать ключ, который 
хранится у разработчика и отсутствует в са- 
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мой программе. Однако ничего не стоит допи- 
сать к концу распаковщика несколько ма- 
шинных команд, ломающих программу на 
лету прямо в памяти. 

Шифровать можно как код, так и данные, 
причем с кодом все намного сложнее. Во- 
первых, приходится предварительно манипу- 
лировать атрибутами страниц, выдавая раз- 
решение на запись, а во-вторых, учитывать 
такую штуку, как перемещаемые элементы - 
специальные ячейки памяти, в которые в 
процессе загрузки файла операционная сис- 
тема прописывает фактические адреса. 
Впрочем, в большинстве случаев шифровки 
данных оказывается вполне достаточно. 
Главное - не дать хакеру обнаружить в дам- 
пе текстовые строки с ругательными сообще- 
ниями (типа "trial expired"), на которые легко 
поставить точку останова или подсмотреть 
перекрестную ссылку. 

Давай посмотрим, как осуществляется 
шифровка текстовых строк на практике. Для 
начала возьмем простую программу, считы- 
вающую из командной строки пароль и вы- 
водящую в зависимости от ввода "password 
ok" или "wrong password". Один из вариан- 
тов ее реализации выглядит так: 


Для усиления защиты сравнивается не 
сам пароль, а его контрольная сумма (CRC). 
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Текстовые строки, хранящиеся открытым текстом, и перекрестные ссылки, ведущие к ним 


Эталонный пароль Huge не хранит- 
ся, и хакер при всем своем желании 
не может подсмотреть его. Оторвать 
мыщьх'у хвост, если это не так! Но 
как же мы узнаем СКС эталонного 
пароля? Да очень просто! Достаточ- 
но внедрить в отладочную версию 
программы строку printf("%x",CRC), 
распечатывающую контрольную 
сумму введенного пароля, и ввести 
эталонный пароль. Например, CRC 
слова "nezumi" равна 98h. 

Откомпилировав полученную прог- 
рамму (естественно, предварительно 
убрав отладочную печать из фи- 
нальной версии) и пропустив ее че- 
рез дизассемблер, мы получим нечто 
вроде того, что на скриншоте. 

Текстовые строки "password ok" и 
"wrong password" хранятся открытым 
текстом и легко обнаруживаются да- 
же при беглом просмотре листинга 
(обычно для этого используются 
программы-фильтры, отсеивающие 
все читабельные текстовые последо- 
вательности). Что сделает хакер? Ус- 
тановив точку останова на начало 
"wrong password", он легко перехва- 
тит код, выводящий эту строку на эк- 
ран, после чего ему останется найти 
тот условный переход, который его 
выводит. Весь взлом не займет и де- 
сяти минут! 

Поэтому, как уже было сказано, 
текстовые строки необходимо хра- 
нить в зашифрованном виде, что 
можно сделать, например, так: 


// контрольная сумма пароля nezumi 
#define CRC_ 0x98 

// ключ шифрования 

#define КЕУ_ ОхЕЕ 


main(int с, char **v) 
{ 

int a; 

int CRC=0; 

char Би 1024]; 


// зашифрованные текстовые строки 


char *goods = "\x8F\x9E\x8C\x8C\x88 
\x90\x8D\x9B\xDF\x90\x94"; 

// "password ок"; 

char *wrong = "\x88\x8D\x90\x91\x98 
\xDF\x8F\x9E\x8C\x8C\x88\x90\x8D\x9B":; 

//wrong 


if (col) 
{ 
for (a=0; asstrlen(v[1]); a++) 
CRC=(CRC+Vv[I][a]) & OXFF; 
// проверка CRC и расшифровка строк 


if (CRC-_CRC_) // пароль ок 
for (a=0;a<strlen(wrong);a++) 
buffa]=wrongla]*_KEY_; 
else // пароль He ок 
for (a=O;a<strlen(goods);a++) 
buf[a]=~goods[a]; 


// формирование завершающего 
// нуля и вывод строки на экран 
БиНа]=0; printf("%s\n",buf); 
return 0; 

} 

printf("USAGE:crypt.exe password\n"); 


И тут все обратили внимание Ha то, 
что строки расшифровываются не по 
месту хранения, а помещаются в спе- 
циальный буфер, чтобы затруднить 
взлом. В противном случае хакер смо- 
жет установить точку останова на 
функцию рипй (которая и выводит эту 
строку), что позволит ему определить 
смещение строки в секции данных и 
проанализировать перекрестные 
ссылки, ведущие к защитному коду. 

Для шифровки не обязательно ис- 
пользовать крутые криптостойкие ал- 
горитмы, такие как RC4 или DES. Сой- 
дет и обычный ХОР. Необходимо 
только убедиться, что ни один сим- 
вол шифруемой строки не обращает- 
ся в ноль: С трактует ноль как конец 
строки. Выражение x XOR y == 0 ста- 


новится истинным тогда и только тог- 
да, когда х == у, то есть ключ совпа- 
дает с одним из символов шифруе- 
мой строки. Значение FFh ни разу не 
встречается ни в одной из двух на- 
ших строк, поэтому оно вполне по- 
дойдет на роль ключа. 

Единственная проблема - как за- 
шифровать строки. В принципе, это 
можно сделать и после компиляции, 
воспользовавшись любым hex-pegak- 
тором (например НЕМ), однако при 
каждом ребилде эту процедуру при- 
дется повторять вновь и вновь, что 
очень достает. 

Мы напишем для этой цели специ- 
альный отдельный шифратор, захва- 
тывающий исходную строку и выпле- 
вывающий зашифрованную последо- 
вательность, оформленную по всем 
правилам языка С, после чего нам ос- 
танется только вставить ее в исход- 
НЫЙ KOG. 

Его макет может выглядеть так: 


main(int с, char **v) 
{ 
int a; 


printf("char *уаг_пате=\""); 
for(a=0;a<strlen(v[I]);a++) 
{ // шифровка по XOR 
printf("\\x%02X" v[I][a] ^ atol(v[2])); 
printf("\";"); 


Если сделать все верно, текстовые 
строки "password ok/wrong password" 
исчезнут из откомпилированной прог- 
раммы. Теперь для взлома защиты ха- 
керу придется потратить намного 
больше времени и усилий. В данном 
случае разница не так уж заметна, но 
в программах, состоящих из десятков 
тысяч строк, все будет пучком! 


СОВЕТ №2: НЕ ДАВАЙ 
ПЕРЕМЕННЫМ ГОВОРЯЩИХ 
ИМЕН 

m Ни в коем случае не назначай за- 
щитным компонентам никаких осмыс- 
ленных имен, особенно при програм- 
мировании в Delphi и Builder - они по- 
падут в исполняемый сфайл. Вроде бы 
очевидный совет (меня даже высмея- 
ли за него пару раз), однако его оче- 
видность не влияет на программис- 
тов, и они продолжают наступать на 
грабли. Взгляни, например, на резуль- 
тат декомпиляции программы Е т 
НТТР Ргоху на картинке. 

Хакер с ходу видит юнит fRegister с 
процедурой bOkClick, обрабатывающей 
нажатие кнопки "ОК", расположенной 
по адресу 48D2DCh. Все! Защитный ме- 
ханизм успешно локализован! Самая 
сложная часть взлома позади! 

Просто поразительно, сколько ин- 
формации можно извлечь, просмат- 
ривая текстовые строки, открытым 
текстом лежащие в рядовой програм- 
ме. Если бы программисты использо- 
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будь бессмысленную абракадабру, 
взлом занимал бы гораздо больше 
времени! 


СОВЕТ №3: ИСПОЛЬЗУЙ 
ВИРТУАЛЬНЫЕ ФУНКЦИИ 

и Активное использование вирту- 
альных функций существенно 3aTpyg- 
няет дизассемблирование. Виртуаль- 
ные функции вызываются по косвен- 
ным ссылкам, и над вычислением эфр- 
фективных адресов приходится осно- 
вательно потрудиться. 

Вот пример: 


class Вазе{ 
public: 
virtual void demo_1(void) 
{ рип ("ВАЗЕ DEMO 2\n"); }: 
virtual void demo_2(void) = 0; 
i 


class Derived:public Base{ 
public: 

virtual void demo_1(void) 

{ printf("DERIVED\n"); }; 

virtual void demo_2(void) 

{ printf("DERIVED DEMO 2\n"); }; 
i 


main() { 


Base *р = new Derived; 
p>demo(); 
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A вот его дизассемблерный 


фрагмент: 
text:0040101B = mov eax, [esi] 
text:0040101D — mov ecx, esi 


text:0040101F call dword ptr [eax] 
‚ вызов виртуальной функции 1 


text:00401021 — тоуедх, [esi] 
text:00401023 — то\уесх, esi 
text:00401025 call dword ptr [edx+4] 


; вызов виртуальной функции 2 
.text:00401028 — push offset aNonvirtual; 
text:0040102D — са! sub_4010B0 
; вызов невиртуальной функции 


Что мы видим? Вызов невиртуаль- 
ной функции осуществляется по не- 
посредственному значению (констан- 
те), равной в данном случае 
AOIOBOh. А с виртуальными функци- 
ями все намного сложнее. Команда 
call dword prt [eax] передает управ- 
ление по адресу, хранящемуся в 
двойном слове, на которое указыва- 
ет регистр ЕАХ, загружающийся, в 
свою очередь, из двойного слова, на 
которое указывает регистр ESI, а сам 
ESI... И такие цепочки могут быть 
длинными, очень длинными, причем 
исходный указатель инициализиру- 
ется совсем в другом месте (как пра- 
вило, в пра-пра-праматеринской 
функции). В общем, с виртуальными 
функциями современные дизассемб- 
леры еще не справляются (к Delphi и 
Builder это не относится - для них су- 
ществует множество отличных ge- 
компиляторов). 

Только необходимо помнить, что 
оптимизирующие компиляторы при 
первой же возможности заменят вир- 
туальную функцию на статическую. 
Просто объявить функцию как вирту- 


альную недостаточно - нужно ИС- 
ПОЛЬЗОВАТЬ ее как виртуальную. 


СОВЕТ №4: ОСЛЕПЛЯЙ FLIRT 

ш Типичная программа наполовину 
состоит из библиотечных функций, 
анализ которых занимает море вре- 
мени и усилий (особенно если это ка- 
кой-нибудь интерфейсный компо- 
нент). IDA PRO поддерживает шикар- 
ную технологию FLIRT (Fast Library 
Identification and Recognition 
Technology), автоматически распоз- 
нающую срункции большинства по- 
пулярных библиотек, в результате 
чего задача хакера существенно уп- 
рощается. 

Вот фрагмент защитного механизма, 
считывающий имя пользователя и се- 
рийный номер из окна редактирова- 
ния функцией TControl::GetText: 


mov eax, [ebx+328h] 
call @TControl@GetTextSqarv 
; TControl::;GetText(void) 


mov eax, [ebx+320h] 
call @TControl@GetTextSqqrv 
; TControl::GetText(void) 


Размер защитного кода несопоста- 
вим с размером библиотечных сфунк- 
ций, которые он использует (библио- 
течные функции на порядок "жир- 
нее"). Если бы He FLIRT, взлом затя- 
нулся бы надолго. А так пришел, уви- 
дел, отломил. Тем более что большин- 
ство хакеров предпочитает ставить 
точки останова He на GetWindowTextA, 
ана @TControl@GetText$aqrv, что 
намного удобнее. Как этому поме- 
шать? Оказывается, чтобы ослепить 
ИДУ, достаточно изменить всего нес- 


Типичная программа наполовину состоит 
из библиотечных сфункций, анализ которых 
занимает море времени и усилий. 
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To же самое приложение, использующее перекомпилированные МЕС-библиотеки 
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МЕС-приложение, использующее готовые библиотеки 


колько байтов в начале каждой биб- 
лиотечной функции. 
Например, @TControl@GetTextSaqaqrv: 


push ebx 
push esi 
push edi 


pop edi 
pop esi 
pop ebx 
retn 


Если заменить push ebx/push esi/pop 
esi/pop ebx Ha push esi/push ebx//pop 
ebx/pop esi, IDA He сможет узнать эту 
функцию и хакеру придется основа- 
тельно попыхтеть над реконструкцией 
защитного механизма. 


CODE:0048D2F7 — mov eax, [ebx+328h] 
CODE:0048D2FD call sub_4410B8 


CODE:0048D309 — том eax, [ebx+320h] 
CODE:0048D30F call sub. 441088 


Конечно, править все CPYHKLUN 
вручную - медленный и крайне не- 
перспективный путь, однако знатоки 
ассемблера за несколько вечеров на- 
пишут автоматический пермутатор 
или возьмут уже готовый (благо по- 
лиморфных движков в Сети предос- 
таточно). Сделать замену достаточно 
всего один раз - в библиотеке, а по- 
том просто линковать ее к защищен- 
ным программам! Кстати говоря, ис- 
ходные тексты большинства станда- 
ртных библиотек открыты, а это зна- 
чит, что, перекомпилировав их с дру- 
гими ключами оптимизации (или gpy- 
гим компилятором), мы точно осле- 
пим FLIRT. 


СОВЕТ №5: ПРОГРАММИРУЙ НА 
VISUAL BASIC ИЛИ FORTH 

m Как это ни смешно, HO программы, 
написанные Ha Visual Basic, ломаются 
значительно труднее (особенно если 
использовать трансляцию в р-код). 
Еще сложнее ломается Forth. Кто 
сталкивался - тот поймет. Кто не стал- 
кивался - тот еще не в психушке. 
Forth - это вообще-то интерпретатор, 
но довольно своеобразный, совсем 
не похожий на остальные языки. Чис- 
то технически можно написать Forth- 
декомпилятор или найти уже гото- 
вый, НО для этого хакеру потребуется 
изучить и сам Forth, а это значит, что 
взлом программы затянется надолго. 
Разумеется, никто не предлагает пи- 
сать приложение Ha Forth'e целиком. 
Достаточно запрограммировать на 
нем несколько ключевых защитных 
процедур (генерация серийного номе- 
ра, расшисфровщик и т.д.) 

Еще можно использовать Microsoft 
Visual Studio .МЕТ - она тоже позволя- 
ет генерировать р-код, правда, для 
него уже появилось множество де- 
компиляторов, да и сам сформат р-ко- 
да стандартизован и тщательно спе- 
цифицирован. Лучше откопать ка- 
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Дизассемблерный листинг программы на языке Forth 


кой-нибудь редкоземельный интерп- 
ретатор, например Haskel или LISP. 
Во-первых, знакомство с новыми язы- 
ками расширяет кругозор, а во-вто- 
рых, многие начинающие хакеры сво- 
ими познаниями в языках программи- 
рования обычно не вылезают за пре- 
делы C/Pascal/ASM - тот же LISP с хо- 
ду они вряд ли взломают. Скорее все- 
го, исследуемая программа будет за- 
брошена на полку go лучших времен 
(то есть навсегда). 


: 50001. LOOP; 
: AS 0 DO СВТ- DUP IS LOOP ; 


СОВЕТ №6: ИСПОЛЬЗУЙ 
ГЛОБАЛЬНЫЕ ПЕРЕМЕННЫЕ 

ш Существует такой миф, что гло- 
бальные переменные - это плохо. 
Рассказывается множество ужасных 
историй, к примеру, как пара придур- 
ков гоняла бага целый день (месяц, 
неделю), и все из-за глобальных пе- 
ременных! Это верно! Обращение к 
ним может происходить из разных 
мест, и кто угодно может затереть чу- 
жое значение со всеми вытекающи- 
ми отсюда последствиями. Локаль- 
ные переменные в этом отношении 
намного нагляднее и проще. Их лю- 
бят все - и программисты, и хакеры. 

Флаг регистрации, расположенный 
в глобальной переменной, ломается 
на ура, поскольку к нему ведут перек- 
рестные ссылки, сразу показываю- 
щие, какой код обращается к нему и 
когда. Однако если использовать од- 
ну и ту же ячейку памяти для хране- 
ния нескольких типов данных сразу, 
можно сильно усложнить жизнь 
взломщику. 

Допустим, на стадии инициализа- 
ции некоторая ячейка используется 
как Cpnar регистрации, затем срлаг ре- 
гистрации временно копируется в 
другое место, а сюда помещается 
флаг, например, ошибок. Один раз 3a 
определенный промежуток времени 


процедура обмена повторяется 
вновь. Конечно, это упрощенная схе- 
ма, но общий смысл, думаю, понятен. 

Хакер будет видеть множество пе- 
рекрестных ссылок, ведущих в раз- 
ные части программы. Проанализиро- 
вав несколько из них, он быстро най- 
дет cpnar ошибок, переименует пере- 
менную в f_error и тут же потеряет к 
ней всякий интерес. А даже если не 
потеряет, ему будет очень трудно ра- 
зобраться, в какой момент эта пере- 
менная является флагом ошибок, а в 
какой - флагом регистрации. 


ЗАКЛЮЧЕНИЕ 

m Рассмотренные приемы, несмотря 
на свою простоту, служат отличным 
оружием против хакеров. Конечно, 
взломать можно все, но так или ина- 
че на это потребуется какое-то вре- 
мя. Именно его всегда недостает ха- 
керам. В первую очередь ломают 
простые программы. Сложные остав- 
ляют на потом. Надеюсь, эта статья 
поможет тебе сделать так, чтобы 
твоя программа попала в список 


сложных. BE} 


WinRAR - флаг регистрации и перекрестные ссылки, Begy- 
щие к нему 
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ЖИЗНЬ ПОСЛЕ КОМПИЛЯЦИИ ) 


Bagie (bagie@bk.ru) 


ЖИЗНЬ ПОСЛЕ 
КОМПИЛЯЦИИ 


ВСЕ О ПРОТЕКТОРАХ И УПАКОВЩИКАХ 


осле компиляции нужно защищать свои программы всеми возможными способами. Один из самых популярных 
способов - использование протекторов. Соответственно, возникает вопрос: а какой протектор использовать, и 
стоит ли вообще делать это? Об этом и многом другом поговорим в этой статье. 


НЕМНОГО ТЕОРИИ 


ш В наше передовое 


время существует мно- 


жество различных ме- 


тодов защиты прило- 
жений от посягательства со стороны 
других лиц. Давным-давно, когда о на- 
весных методах защиты и не подозре- 
вали, жизнь программиста была нам- 
ного сложнее, так как он должен был 
заботиться обо всем самостоятельно. 
С приходом первых упаковщиков ис- 
полняемых сфайлов все кардинально 
изменилось. Только появившись на 
свет, пакеры стали выполнять помимо 
своей основной функции, сокраще- 
ния размера исполняемых модулей, 
еще и функцию защиты, так как пос- 
ле упаковки нельзя непосредственно 
редактировать сфайлы: для этого нуж- 
но распаковать файл, отредактиро- 
вать его должным образом, а затем, 
по надобности, еще и упаковать. Ко- 
нечно, сейчас мало кого удивишь та- 
ким "очень оригинальным методом 
защиты", поэтому становится попу- 
лярной другая разновидность упаков- 
щиков - протекторы. Протектор - это 
программа, которая помимо сфункции 
упаковки (хотя в некоторых протекто- 
Pax упаковки нет) еще и модифициру- 
ет исполняемые срайлы таким образом, 
что распаковать их после этого стано- 
вится намного сложнее, чем при ис- 
пользовании любого другого пакера. 


Те, кто не знает, что такое упаков- 
щик исполняемых файлов, должно 
быть, думают, что все это бред. Мол, 
возьми архиватор, упакуй программу, 
а затем, когда понадобится, распакуй 
и пользуйся. На самом деле пакеры 
работают немного не так: во-первых, 
они не распаковывают программу на 
диск и затем не запускают ее. Деком- 
прессия происходит непосредственно 
в памяти программы, так что дополни- 
тельных дисковых ресурсов не потре- 
буется. Во-вторых, алгоритмы сжатия, 
применяемые в пакерах, не столь 
требовательны к ресурсам системы, 
как алгоритмы сжатия, используе- 
мые в современных архиваторах. И, 
в-третьих, нам нужно защитить 
программу от посягательств с не- 
доброжелательной к нам стороны. 
Как же защититься, если программа 
будет упакована WinRAR'om, напри- 
мер? Можно, конечно, установить 
пароль на архив, но тогда что это 
такое получится :). 

В реале простой упаковщик не обес- 
печивает должную защиту програм- 
мам, так как распаковать такие упа- 
ковщики, которые не используют ни- 
каких защитных приемов, дело нес- 
кольких секунд. Для этих целей и бы- 
ли придуманы протекторы - они и упа- 
куют, и закриптуют код программы ка- 
ким-нибудь особым способом. Испор- 
тят таблицу импортов в файле. Будут 
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использовать защиту против отладки. 
Будут проверять контрольную сумму, 
а некоторые - даже хэш-сумму запако- 
ванного срайла, дабы исключить воз- 
можность подредактирования прог- 
раммы. Будут дико приставать с окош- 
ками, содержащими информацию о 
том, что программа не зарегистриро- 
вана или что срок действия демо-вер- 
сии истек. И еще много чего будут. И 
действительно, набор сфункций для 
различных протекторов разный. Отли- 
чаются и уровни защиты, которые 
обеспечивают протекторы. И снова 
возникает вопрос: а какой протектор 
использовать, и стоит ли вообще де- 
лать это? 


Свои программы по мере возмож- 
ности и необходимости следует защи- 
щать всеми возможными способами. 
Внешний уровень защиты - это погра- 
ничный слой, который всегда первым 
принимает на себя вражеские атаки. 
Естественно, то, чем была упакована 
или закриптована программа, являет- 
ся своего рода "лицом", которое 
предстает перед взглядом взломщика 
в начале его пути. В данном типе за- 
щиты особенно важен психологичес- 
кий аспект, так как, например, неопыт- 
ный взломщик, увидев действительно 
реальную и известную защиту, прос- 
то откажется от затеи украсть чужую 
интеллектуальную собственность. В 
подтверждение этому можно отме- 
тить, что многие протекторы пытают- 
ся, иногда успешно, маскироваться 
либо под простейшие упаковщики, к 
примеру UPX, либо под какое-нибудь 
малоизвестные, либо под очень кру- 


тые защиты. В любом случае, непра- 
вильно определив тип протектора, 
взломать программу с полпинка, ско- 
рее всего, не удастся. 

Также можно отметить, что по воз- 
можности необходимо обеспечивать 
связь всех уровней защиты, чтобы 
своевременно реагировать на любые 
изменения. Например, у некоторых 
протекторов есть одна очень полез- 
ная функция: если они обнаруживают 
попытку взлома (к примеру происхо- 
дит отладка приложения), то, не 
предпринимая никаких видимых 
действий, протектор передает инфрор- 
мацию на нижние уровни программы, 
где возможна более гибкая обработка 
возникшего события. Пусть, к приме- 
ру, нас отлаживают, пытаясь перехва- 
тить кусок кода, где происходит про- 
верка правильности серийного номе- 
ра. Протектор определяет это собы- 
тие, затем сообщает приложению о 
том, что идет отладка. А ты в свою 
очередь можешь в этом месте напи- 
сать процедуру, которая затирала бы 
целиком весь код, в котором происхо- 
дит проверка, не подавая никаких де- 
маскирующих признаков жизни. Полу- 
чаем следующее: если неизвестно, как 
работает защита, отловить место, в ко- 
тором решается судьба пользователя - 
довольно сложное дело. Некоторые 
современные протекторы поддержи- 
вают эту столь полезную функцию. 

Чтобы создать действительно хоро- 
шую защиту, также необходимо уде- 
лять внимание внутреннему устрой- 
ству программы. Особо надеяться на 
протектор нельзя, пусть даже он са- 
мый дорогой и известный из всех. 
Злоумышленник не пожалеет сил, 
чтобы обойти или подавить навесную 
защиту - и спасение от таких неприят- 
ных ситуаций тоже нужно обеспечить. 

Вдогонку напишу, что многие крип- 
торы, особенно платные, позволяют 
организовывать внешнюю регистра- 
цию. Другими словами, это обстоя- 
тельство освобождает тебя от обя- 
занности писать защиту: вся провер- 
ка и регистрация может осущес- 
твляться протектором. Но никогда не 
используй эту возможность, потому 
что стоит просто снять защиту - и при- 
ложение останется абсолютно "го- 
лым" и просто никаким образом не бу- 
дет просить зарегистрироваться. 


ПРОТЕКТОРЫ НА ПРАКТИКЕ 

m Мы подбираемся к самому инте- 
ресному - к некоторым известным и 
не очень протекторам исполняемых 
файлов, которые подходят для защи- 
ты приложений. 


ASPROTECT 

Сайт: www.aspack.com 

На сегодняшний день один из самых 
лучших протекторов для защиты ис- 
полняемых сфайлов. Эфорективными и 
простыми методами обеспечивает за- 
щиту программы от взлома и неле- 
гального распространения. Помимо 


ASProtect обладает очень удобным ин- 
терфейсом 


обычных приложений, с помощью 
ASProtect можно защитить и различ- 
ные компоненты, например библиоте- 
ки Activex. 

На момент написания статьи послед- 
ней версией был ASProtect 2.1 - очень 
хороший и удобный в использовании 
протектор, сочетающий множество 
различных типов защит в различных 
комбинациях. При желании можно 
осуществить и внешнюю схему реги- 
страции. В качестве стандартных за- 
щит ASProtect дает следующее: 


ш хорошая антиотладочная система 
затрудняет запуск программ, защи- 
щенных ASProtect nog отладчиком. 

ш защита исполняемого файла конт- 
рольной суммой не позволит взлом- 
щику редактировать код программы. 

№ защита таблицы импортов не go- 
пустит, чтобы злоумышленник восста- 
новил весь импорт GO исходного сос- 
тояния. 

ш сжатие файла перед зашифров- 
кой не только уменьшит размер ис- 
полняемого файла, но и значительно 
усложнит модификацию программы. 


Кроме того, используя ASProtect, 
можно осуществлять дополнитель- 
ные виды защит, сочетая их в различ- 
ных комбинациях. Например, можно 
заставить программу запускаться 
только после ввода пароля или ис- 
пользовать ключи активации. Инте- 
ресна возможность отправить некото- 
рые ключи в "черный список", если 
они получили широкое незаконное 
распространение. Также при исполь- 
зовании ключей активации возможна 
их привязка к конкретному оборудо- 
ванию, установленному в системе. 
При генерации ключей используются 
сложные криптостойкие алгоритмы, 
поэтому просто "угадать" ключ абсо- 
лютно невозможно. Имеется также 
старая возможность прекращения ра- 
боты программы через указанное чис- 
ло запусков или по истечении указан- 
ного строка. А при желании можно 
просто надоедать пользователям со- 
общениями с просьбами зарегистри- 
роваться. 

Замечу, что старые версии протекто- 
ра (go версии 2.0) не обеспечивают 
защиту на достойном уровне, так как 
в настоящее время их могут снять да- 
же не очень опытные взломщики, 


благодаря утилитам автоматической 
распаковки. Если нужна реальная за- 
щита, эти версии не gna тебя. 

Самый большой недостаток 
ASProtect, впрочем, как и других ком- 
мерческих протекторов - это высокая 
цена, которая может достигать $299. 
Поэтому, если нет возможности при- 
обрести эту программу, то, скорее все- 
го, ты отправишься на поиски других 
протекторов. 


OBSIDIUM 

Сайт: www.obsidium.de 

Коммерческий протектор, который 
позволяет защитить программы от 
взлома, а также может с легкостью 
осуществить простую и надежную 
систему лицензирования. Многое, что 
есть в протекторе, встречается и в 
других крипторах, но авторы Obsidium 
предлагают довольно интересные ре- 
шения. Чего стоят одни антиотладоч- 
ные приемы? А оригинальный гип- 
time patching, хитро сделанный им- 
порт, умная кража байтов с ОЕР 
(Original Entry Point)? Шифровка дан- 
ных блоками, зашифровка ресурсов и 
множество 5ЕН-сфреймов умножают 
достоинства этого протектора в плане 
защиты. Его ключевые особенности 
следующие: 


и шифрование и сжатие кода и дан- 
ных программы; 

ш защита от дизассемблирования, 
отладки, снятия дампа, а также защи- 
та АРН-орункций и изменения кода 
программы в процессе работы; 

ши автоматизированная система ли- 
цензирования, поддерживающая раз- 
мер открытого ключа go 2048 бит; 

ш возможность регистрации на ос- 
нове ключевых сфайлов или тексто- 
вых ключей; 

и поддержка черного списка для 
ключевых файлов; 

и возможность защиты паролем, а 
также создание {па-версий программы. 


Окно ОБ! ит немного напоминает 
окошко какого-нибудь "мастера" 


В общем, этот криптор для тех, кто 
действительно ценит свою интеллек- 
туальную собственность и хочет на- 
дежно защитить свои программы от 
взломщиков. 


ARMADILLO 
Cait: wwwsiliconrealms.com/armadillo shtml 
Продолжает коммерческую линейку 


протекторов класса middle end. Очень у» 
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Дизайн АгтадИЮ оставляет желает лучшего 


хороший криптор, который в состоя- 


нии выполнять все стандартные 
функции: сжатие и шифрование кода 
и данных программы, использование 
антиотладочных и антидамповых при- 
емов защиты и др. Но самой главной 
отличительной особенностью прог- 
раммы является принцип работы, ко- 
торый несколько отличается от прин- 
ципов работы других протекторов. 
Вся суть в том, что Armadillo активно 
использует отладочные средства 
Win32 (Debug API). То, что мы запуска- 
ем, по сути, является отладчиком, ко- 
торый в процессе отладки улавливает 
и исправляет специально созданные 
им же ошибки в отлаживаемой прог- 
рамме, которую он запускает сам. В 
дополнение к этому протектор также 
динамически шифрует и дешифрует 
код программы. Данная технология 
получила название СоруМет Il, суть 
которой заключается в том, что в па- 
мяти в один момент времени присут- 
ствует лишь несколько страниц кода 
программы, нужных оля ее работы, а 
остальные страницы помечаются как 
отсутствующие в памяти. Если обра- 
титься к несуществующей странице, 
то возникает исключение, которое об- 
рабатывается отладчиком, и он в 
свою очередь производит расшиср- 
ровку куска кода. После того как код 
становится ненужным для работы, 
Armadillo заново шифрует и помечает 
текущую страницу в памяти програм- 
мы как неиспользуемую. 

Благодаря такой системе усложняет- 
ся снятие защиты, и это под силу не 
каждому взломщику. Следовательно, 
этот протектор является одним из са- 
мых лучших решений для защиты 
программ. 

К недостаткам протектора можно от- 
нести то, что при его использовании 
резко падает производительность, и 
из этого делаем вывод, что не следует 
использовать Armadillo для защиты 
программ, занимающихся, к примеру, 
кодированием аудио или видео, игр 
или других программ, интенсивно ис- 
пользующих оперативную память. 

Цена профессиональной версии 
криптора может быть больше, чем на 
ASProtect, так что лучше хорошо по- 
думать, прежде чем воспользоваться 
данной защитой. 


VMPROTECT 

Сайт: www.polytech.ural.ru 

Особенный протектор, не похожий 
ни на один другой. Эта программа, в 
отличие от других, не работает по 
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предписанной схеме - не шифрует 
и/или пакует файл, а в процессе pa- 
боты производит обратные действия. 
Все эти ухищрения в большинстве 
случаев устаиваются впустую: всегда 
можно перехватить то место, где про- 
исходит завершение работы криптора 
и управление передается программе- 
носителю. Вместо этого VMProtect ра- 
ботает как виртуальная машина, то 
есть преобразует участки кода, ука- 
занные разработчиком, в собствен- 
ный формат команд. И в процессе вы- 
полнения этого кода не производится 
расшифровка, а непосредственно ра- 
ботает как интерпретатор процессор- 
ных команд. Поэтому для снятия этого 
протектора необходимо тщательно 
изучить структуру команда VMProtect, 
что является довольно трудоемкой и 
сложной задачей. Единственный не- 
достаток, которой присутствует во 
всех интерпретаторах - это низкая 
скорость работы. Но если важна не 
скорость, а достойный уровень защи- 
ты, то этот протектор пригодится. 

Из-за небольшой тонкости в ис- 
пользовании программы придется 
указывать адреса процедур, которые 
нужно зашифровать. Эти адреса 
можно посмотреть отправив програм- 
му в дизассемблер. Процедур для за- 
шифровки может быть несколько, и 
рекомендуется защищать в первую 
очередь важные участки кода: точка 
входа в программу (здесь можно ус- 
ложнить вероятное определение 
ОЕР, а также скрыть местоположение 
таблицы импортов), куски кода, где 
происходит, например, проверка се- 
рийного номера, код, содержащий 
ключевые строки и т.9д. 

Так как криптор работает по совер- 


шенно другому принципу, после этого 
было бы неплохо упаковать сфайлы, 
обработанные VMProtect, каким-либо 


Поначалу УМРгоес слегка озадачива- 
ет, зато потом радуешься, что все очень 
удобно 


Разработчики VMProtect денег за свое 
детище не берут 


упаковщиком, например можно взять 
UPX, ASPack, Packman, PCShrinker или 
любой другой, с которым программа 
будет работать нормально. Конечно, 
можно попробовать повесить поверх 
какой-нибудь протектор, но в этом 
случае, скорее всего, криптор необхо- 
димо будет подбирать для каждого 
конкретного случая. 


ORIEN 

Сайт: wwwzalexf.narod.ru 

Еще одна альтернатива для защиты 
исполняемых файлов от взлома и ог- 
раничения допуска. По умолчанию за- 
щита работает всего лишь как обыч- 
ный пакер, но у программы существу- 
ет множество опций, благодаря кото- 
рым можно настраивать уровень и 
тип защиты, а также и некоторые дру- 
гие дополнительные и очень полез- 
ные функции. В качестве основных 
возможностей ORIEN предлагает cne- 
дующее: 


mw 4096-битное шифрование (стан- 
дарт DES); 

и упаковка защищаемых данных 
(используется aPlib); 

ш полиморфное тело защиты (дви- 
жок Polystack); 

ш защита от модификации Koga; 

ш защита от отладки; 

ш защита по паролю (go четырех па- 
ролей); 

ш защита ключевым файлом; 

и использование различных привя- 
30k (HASP, BIOS u T.g.); 

и возможность использовать демон- 
страционные ограничения; 

ш интеграция с защищаемой прог- 
раммой; 

и полная совместимость со всей ли- 
нейкой операционных систем Windows 
и поддержка форматов EXE, DLL, SCR, 
ОСХ ит.д., а также компиляторов 
C/C++, Delphi, VB, Visual FoxPro, 
Sybase PowerBuilder и т.д. 


Важно, что защита может интегри- 
роваться с самой программой. Суть 
данного метода заключается в том, 
что протектор при загрузке создает 
мьютекс - специальный объект, ис- 
пользуемый GNA синхронизации меж- 
ду процессами. В защищаемой прог- 
рамме мы должны проверить сущест- 
вование этого объекта. Если в этом 
случае распаковать программу, то мью- 
текс, естественно, не будет создан, 
что и послужит поводом для дальней- 
ших действий. Хотя данный метод не 
нов, а также присутствует во многих 
других протекторах, им ни в коем слу- 
чае не следует пренебрегать - помо- 
жет в борьбе хотя бы с не очень 
опытными взломщиками. Также необ- 
ходимо помнить, что если не исполь- 
зуется ни защита ключом, паролем, 
привязкой или ограничением на чис- 
ло запусков, то данный протектор ра- 
ботает как самый обычный пакер и 
весь смысл защиты исчезает. 


На ресурсе zalexf'a ты найдешь непло- 
хую подборку специализированного 
софта 


В ORIEN защита может интегрироваться 
с самой программой 


Пожалуй, самый интересный момент 
в крипторе - его цена, которую уста- 
навливает автор, то есть вполне воз- 
можно найти полностью функцио- 
нальную версию программы за те 
деньги, которые считаешь приемле- 
МЫМИ. 


KRYPTON 

Сайт: wwwlockless.com 

Довольно перспективный криптор 
для исполняемых срайлов. И... за его 
использование не нужно платить! 
Протектор не сжимает данные, перед 
тем как зашифровать их, следова- 
тельно, приходится заботиться об 
этом самостоятельно, хотя сразу ска- 
My, что я не смог найти пакер, с кото- 
рым Krypton заработал бы нормаль- 
но. К тому же Krypton - довольно 
редкий протектор, и в первую оче- 
редь из-за того, что он весьма кап- 
ризный, так что, подсовывая ему 
файлы на шифровку, будь готов к то- 
му, что они вдруг просто-напросто 
упадут при запуске. Хотя это спра- 
ведливо только для максимального 
уровня защиты (всего их три), а на 
минимальном уровне все должно ра- 
ботать отлично. Антиотладка также 
выглядит ужасно, однако, несмотря 
на это, криптор хорошо обрабатывает 
импорты в файле, после чего восста- 
новить их бывает даже порой go- 
вольно сложно, что, несомненно, яв- 
ляется его жирным и главным преи- 
муществом. 

Сама по себе структура протектора 
выглядит довольно сыро, но в сово- 
купности с другими защитами может 
дать очень неплохой результат. 
Например, стоит попытаться укрыть 
ОЕР, чтобы усложнить распаковку. 
Обмануть ОЕР-детекторов проще 
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Krypton очень хорошо обрабатывает им- 
порты в файле 


всего кражей нескольких первых 
байт из точки входа. Для этого прос- 
то нужно написать небольшую про- 
цедуру, которая выполнялась бы 
при загрузке программы и затирала 
примерно 10 байт на ОЕР. Напосле- 
док скажу, что испробовать данную 
программу на деле никто не запре- 
щает, так что пробуй быстрее. 


XTREME-PROTECTOR 

Сайт: wwworeans.com/xprotector 

Относится к классу high end, то есть 
его можно назвать почти самым слож- 
ным и трудноломаемым протектором 
исполняемых файлов. Это лишний 
раз подтверждается тем, что после 
выхода в свет криптор продержался 
почти целый год, что уже говорит об 
уровне защиты, которую он обеспе- 
чивает. Протектор отличается не 
только прекрасной антиотладочной 
системой и умелым сокрытием им- 
порта и кода защищаемой програм- 
мы, но и тем, что Xtreme-Protector 
частично использует код на приви- 
легированном уровне RingO в виде 
драйвера. Все это, несомненно, 
очень сильно осложняет исследова- 
ние и взлом защиты, а для начинаю- 
щих и даже довольно опытных 
взломщиков и вовсе не оставляет 
шансов. Однако, несмотря на все 
преимущества, протектор не очень 
стабилен в работе, и вполне может 
случиться так, что после защиты 
программы тебе придется встретить 
резкий и очень неприятный ребут 
(достаточно посмотреть на название - 
и все станет ясно), и если действи- 
тельно происходит так, то лучше от- 
казаться от его использования. Ну и 
чтобы совсем испортить картину, по 


Xtreme-Protector представляет собой 
очень удобный Wizard 


секрету скажу, что авторы данной 
программы ненавязчиво спрашива- 
ют денежное вознаграждение. 

Вот мы и рассмотрели некоторые 
протекторы. В действительности их 
намного больше, и даже больше, чем 
может вообразить себе психически 
здоровый человек, но большинство 
из них либо не заслуживают внима- 
ния, либо не доступны для публично- 
го обозрения. Здесь были приведены 
наиболее интересные, на мой взгляд, 
крипторы. Однако это вовсе не озна- 
чает, что нужно ограничиться этим 
набором. Для своих разработок мож- 
но использовать и другие навесные 
защиты, некоторые из которых можно 
комбинировать в различных соче- 
таниях. 


ТЕСТИРОВАНИЕ ЗАЩИТЫ 

m Очень важно провести некоторое 
тестирование после установки навес- 
ной защиты. Суть тестирования зак- 
лючается, прежде всего, в проверке 
полной работоспособности програм- 
мы. После этой стадии также необхо- 
димо в некоторой мере протестиро- 
вать защиту на соответствие уровню. 
Иначе говоря, стоит немного времени 
пожить в шкуре злоумышленника и 
попытаться всеми доступными Cpeg- 
ствами снять протектор. Как минимум, 
защита хотя бы должна быть стойкой 
к различным автоматическим распа- 
ковщикам. К универсальным распа- 
ковщикам пакеров и некоторых про- 
текторов класса low end можно отнес- 
ти GenericUnpacker и Quick Unpack. 
Следовательно, стоит попытаться 
снять защиту с помощью данных ути- 
лит, но с действительно хорошими 
протекторами типа Armadillo, 
ASProtect, Obsidium и др. можно и не 
пытаться сделать это, так как все рав- 
но ничего хорошего не получится. 

Многие протекторы используют за- 
щиту таблицы импорта в файле, так 
что можно использовать программу 
Import REConstructor для ее восста- 
новления. Несмотря на то, что взлом- 
щик может и не знать реальной точки 
входа защищенной программы, в 
ImpREC'e указывай свой реальный 
ОЕР (ЕР программы, не упакованной 
ничем), и даже если таблицу импорта 
восстановить не удалось, испробуй 
трейсер для ее нахождения. Теперь, 
если после всех этих операций им- 
порт оказался восстановленным gO 
первоначального состояния, можно 
судить о том, насколько крута выб- 
ранная защита. 

Неплохо также проверить криптор в 
режиме отладки, дабы убедиться в ра- 
ботоспособности его антиотладочных 
премудростей, a те, кто знаком с прин- 
ципами взлома приложений, могут 
пойти дальше и попробовать распако- 
вать программу вручную. 

Многие виды навесных защит, анон- 
сируемые сегодня на рынке, попросту 
не могут представить ничего особен- 
ного. Их документация гласит, что 
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якобы именно ЭТА защита самая луч- 
шая и никоим образом взломать ее 
нельзя. Не доверяй первой попав- 
шейся документации, а ответ на воп- 
рос о том, какие защиты действитель- 
но стоит попробовать, лучше поис- 
кать на различных крэкерских сайтах, 
так как те, кто ломают, в тысячу раз 
лучше знают, насколько хорош тот 
или иной протектор и для каких целей 
он сгодится. 


УПАКОВКА ИМЕЕТ ЗНАЧЕНИЕ 

m К вышесказанному добавлю, что 
многие бесплатные протекторы и упа- 
ковщики созданы как раз руками крэ- 
керов, вирусописателей и еще бог 
знает кого. Но это связано вовсе не с 
тем, что названные лица пытаются ос- 
ложнить себе жизнь - скорее, наобо- 
рот. В современном мире уберечься 
от вирусов намного проще, чем самим 
вирусам от различных антивирусных 
мониторов. Другими словами, стоит 
новенькому почтовому червю поя- 
виться в свет, как его уже поджидают 
с широко распростертыми объятиями 
антивирусники. Да и пользователь 
пошел подозрительный, и прежде 
чем запустить только что скачанную 
из интернета программу, тут же отп- 
равляет ее на проверку. Но выход 
есть: стоит упаковать программу чем- 
либо, и вот оно - чудо техники. Анти- 
вирусы не видят исходного кода и 
часто падают на этом сфакте, а точнее 
падали, так как почти все современ- 
ные защиты от вирусов умеют также 
и распаковывать многие пакеры и 
протекторы, которые повешены свер- 
ху программы. Несмотря на это, объ- 
ять все навесные защиты просто не- 
возможно, следовательно, нужно 
знать, чем "правильно" упаковать хо- 
роший троян ;-). 


UPX 

Самый популярный пакер всех Bpe- 
мен и народов, мимо которого также 
не прошли стороной шаловливые 
ручки вирусописателей. Множество 
современных вирусов аля уменьше- 
ния их размера отправляется на комп- 
рессию именно к нему. А почему к не- 
му? Да потому, что UPX зарекоменодо- 
вал себя, прежде всего, как самый 
стабильный, поддерживающий мно- 
жество срорматов, а также обладаю- 
щий хорошей степенью сжатия упа- 
ковщик исполняемых файлов. Ска- 
чать УРХ можно по адресу tittp:/upxsource- 
forge.net. 
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UPX пользуется огромной популяр- 
ностью среди многих вирусописателей 
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FSG 

Пакер, очень простой в использова- 
нии. Сжимает исполняемые срайлы 
чуть хуже, чем UPX, однако у начина- 
ющих взломщиков частенько возни- 
кают проблемы с распаковкой FGS 
вручную. Особенно это осложняется 
тем, что пакер неплохо скрывает таб- 
лицу импорта в запакованном cpanne, 
поэтому Сепепс-распаковщики с ним 
не справляются. FSG также очень час- 
то используют для упаковки различ- 
ных вирусов. Качай FSG отсюда: 
www.cracksearch.ru/soft/soft?. Ат. 


МЕШ 

Пакер класса "очень хорошая шту- 
ка". Он относится именно к этому 
классу, потому что упаковывает даже 
лучше, чем UPX. Пусть и не намного, 
но все равно приятно. Такое сжатие 
достигается благодаря кодеку LZMA. 
С распаковкой такого пакера проблем 
возникнуть не должно, но у начинаю- 
щих крэкеров бывают обидные обпо- 
мы, когда они встречаются один на 
один с MEW. Приметно, что частенько 
трояны упаковывают именно MEW, 
для того чтобы довольно сильно 
уменьшить размер исполняемого 
файла. MEW можно взять с CrackLab: 
www.cracklab.ru/download/list.php?I=8. 
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Трояны очень часто упаковываются 
именно с помощью MEW 


(WIN)UPACK 

Король плотной упаковки исполняе- 
мых файлов. Награжден этим стату- 
сом, потому что сжимает даже лучше, 
чем УРХ или MEW. К сожалению, в па- 
кере пока имеется поддержка только 
одного формата PE(Win32) в виде 
ЕХЕ-файлов. В общем, это, наверное, 
самый перспективный упаковщик для 


"нехороших программ". Программу 
можешь найти по адресу 
http://dwing.go.nease.net. 


MORPHINE 

Ан нет, это вовсе и He пакер. Назва- 
ние программы говорит само за себя. 
Morphine - это полимореный протек- 
тор. С точки зрения защиты он не 
представляет собой чего-то особенно- 
го, и распаковать это чудо можно се- 
KyHg за 30. К тому же для протектора 
есть автоматический распаковщик, но 
пользоваться им для снятия защиты с 
вирусов вряд ли кто захочет, так как 
он запускает жертву на выполнение и 
затем снимает дамп. Не очень-то при- 
ятно, когда на твоей машине хозяйни- 
чает всякая "зараза". Очень хорошо 
повесить Morphine поверх любого 
упаковщика, например из тех, что 
приведены выше. 

И напоследок скажу, что большин- 
ство ухищрений, связанных с упаков- 
кой вирусов, могут оказаться беспо- 
лезными. В этом случае, возможно, 
поможет один метод: запакованную, 
например, с помощью УРХ программу 
модисфицируют таким образом, что 
при запуске получает управление 
код, который расшифровывал бы бай- 
ты на ЕР упакованного вируса прос- 
тым ХОБ, а затем прыгал на этот ЕР. 
Естественно, сами байты должны 
быть GO этого зашифрованы. Некото- 
рые антивирусы после этого и вовсе 
не видят, что программа чем-либо 
упакована, и никаких вирусов в ней, 
скорее всего, не обнаружат. Качай 
Morphine с http//wasm.ru/tools/12/Morphine zip. 


ВМЕСТО ЗАКЛЮЧЕНИЯ 

m Мы рассмотрели некоторые прин- 
ципы защиты приложений после ком- 
пиляции. Были изучены основные 
концепции упаковщиков и протекто- 
ров, а также приведены некоторые 
примеры самых достойных с краткой, 
но максимально информативной ха- 
рактеристикой. Некоторые принципы 
"легкого" тестирования защит тоже 
не были оставлены без внимания, как 
и использование навесной защиты в 
вирусах. 

Звучит пессимистично, но если захо- 
тят - тебя все равно сломают, что бы 
ты ни придумал и ни реализовал в ви- 
де навесной защиты. 
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Не забывай, что многие программы ты легко наидешь на Wasm'e 
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Х У 
Za 


ЭКСКЛЮЗИВНАЯ КОЛЛЕКЦИЯ 
ОДЕЖДЫ И АКСЕССУАРОВ ОТ ЖУРНАЛОВ 
ХАКЕР И ХУЛИГАН 


% Футболки, % Кружки, * Часы 
> толстовки, зажигалки, и многое > 
куртки, брелки, другое 


бейсболки, 


МАНУАЛЬНАЯ ТЕРАПИЯ ) 


Крис Касперски ака мыщьх 


МАНУАЛЬНАЯ > 
ТЕРАПИЯ rf 


УЧИМСЯ ЛЕГКО ОБХОДИТЬ ТОЧКИ ОСТАНОВА 


сли защита не будет препятствовать модификации своего собственного кода, ее немедленно хакнут, а если 

воспрепятствует - хакнут тем более. Контроль утрачивает свою силу, когда становится явным. Лобовые решения 
здесь бесполезны! Чтобы выжить, защитный механизм должен хитрить, используя все преимущества страничной 
организации виртуальной памяти. В этой статье автор делится с читателями передовыми идеями, выдранными из 
лучших защитных механизмов, которые только существуют. 
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радиционные методики 


контроля целостности 


в большинстве своем 


сводятся либо к Nogc- 


чету контрольной сум- 
мы, либо к проверке какого-то конк- 
ретного байта. Оба способа просты в 
реализации, но слишком гуманны. Во 
всех этих случаях происходит явное 
обращение к некоторой ячейке памя- 
ти, что не есть хорошо! Всякий хакер, 
хотя бы однажды видевший 5о се, 
немедленно нажмет <Ctrl-D> и поста- 
вит бряк на эту ячейку, чтобы узнать, 
какая зараза ее контролирует. Конеч- 
но, защитный механизм может актив- 
но противодействовать отладчику, но 
это будет уже перебор. Грамотная ан- 
тиотладка отнимает уйму времени и 
усилий, а безграмотная отламывается 
в два счета. 

Необходимо найти такой способ са- 
моконтроля, который никак не препят- 
ствует отладке, но волшебным обра- 
зом обходит все точки останова, даже 
при запуске под отладчиком-эмулято- 
ром. И такие способы есть! Рассмот- 
рим один из них. 

Для этого нам понадобится hex-pe- 
дактор НТЕ, который можно бесплат- 
но скачать с сервера hitip://hte.sourceforge.net. 
Это могучий и послушный инструмент, 
намного более функциональный, чем 
HIEW, и к тому же распространяемый 
в исходных текстах, что позволило 
портировать его под множество плат- 
форм. Правда, набор горячих клавиш 
не совпадает с HIEW, что поначалу 
очень раздражает (как ни крути, мно- 
голетняя привычка к HIEW берет 
свое). Впрочем, раскладку горячих 
клавиш изменить нетрудно. Однако во 
избежание никому не нужной путани- 
цы в этой статье будет использовать- 
ся оригинальная раскладка. 


ИДЕЯ 

m Страничная организация памяти, 
используемая в 386+-процессорах, 
абстрагирует нас от физических адре- 
сов. Один и тот же физический реги- 
он памяти может проецироваться по 
нескольким виртуальным адресам, но 
ни отладчик, ни дизассемблер об этом 
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даже не догадываются, поскольку 
опираются исключительно на вирту- 
альные адреса. 

Спроецируем физическую страницу 
Г по виртуальным адресам А и В. Тог- 
да, при записи в страницу А, все изме- 
нения немедленно отобразятся в 
странице В, поскольку в действитель- 
ности это одна и та же страница! Как 
можно использовать это на практике? 
Создадим две переменных уаг_а и 
var_b. Первую из них мы разместим на 
странице А, а вторую - на странице В. 
Образуется что-то вроде нуль-прост- 
ранственного туннеля, пригодного 
для контрабандной переброски дан- 
ных из одного конца программы в 
другой. Убийственный трюк, не прав- 
да ли?! Допустим, переменная var_a 
отвечает за флаг регистрации. Дизас- 
сембпер покажет множество перекре- 
стных ссылок, ведущих к разным час- 
тям защитного кода, но... среди них не 
будет ни одной перекрестной ссылки 
на var_b, а значит, часть проверок ре- 
гистрационного кода останется неза- 
меченной, и хакер будет долго ломать 
голову, как это так. Самое главное: 
точка останова, установленная на за- 
пись/чтение переменной уаг_а, при 
обращении к переменной var_b He вы- 
зовет всплытия отладчика! 

К сожалению, с прикладного уровня 
манипуляции со страницами невоз- 
можны. Ну, практически невозможны. 
Небольшая лазейка все-таки есть. 
Возьмем РЕ-сайл. Как известно, он 
состоит из секций, то есть непрерыв- 
ных фрагментов произвольной дли- 
ны. С каждой секцией связан ряд ат- 
рибутов: name - имя; raw offset или 
просто offset - физическое смещение 
секции в файле; raw size - размер сек- 
ции на диске; virtual address, или, сок- 
ращенно, Va - адрес, по которому сек- 
ция проецируется в память; virtual 
size, или \_57 - размер секции в памя- 
ти. Есть и другие атрибуты, но эти са- 
мые важные. 

Весь фокус в том, что один и тот же 
участок файла может быть спроеци- 
рован по нескольким виртуальным 
адресам! Как раз то, что нам нужно! К 
сожалению, сразу же после проеци- 


рования страница забывает о своем 
происхождении, то есть соорудить 
нуль-транспортер на основе секций у 
нас не получится, однако проконтро- 
лировать целостность защитного кода 
мы вполне сможем. Но для начала - 
маленький ликбез. 

Имя секции может быть любым, опе- 
рационная система все равно игнори- 
рует его. А вот хакеры реагируют на 
нестандартные имена вполне адекват- 
но. Чтобы не выделяться, лучше ис- 
пользовать имена вроде "4$!" (Thread 
Local Storage - локальные данные по- 
тока) или ".гзгс" (сокращение OT 
resource - ресурсы). Тот факт, что со- 
держимое секции не совпадает с ее 
называнием, ничуть не смущает опе- 
рационную систему, зато на бдитель- 
ность хакера воздействует самым 
усыпительным образом. 

Физическое смещение секции в 
файле должно быть кратно степени 
выравнивания, прописанной в заго- 
ловке срайла в поле File Alignment. 
Линкер от Microsoft по умолчанию ис- 
пользует выравнивание в 10001, a 
минимальная кратность выравнива- 
ния составляет 2001 (и хотя Windows 
МТ поддерживает гораздо меньшие 
значения в 201 и даже 10h, такой срайл 
не сможет работать в Windows 9x, поэ- 
тому такое выравнивание в природе 
практически не встречается). 

Виртуальный адрес секции должен 
быть выравнен на величину Section 
Alignment, также указанную в заго- 
ловке. По умолчанию она чаще всего 
равна 10001 или 4000h. 

Если физический размер секции 
меньше виртуального, то она исправ- 
но грузится в память, а оставшийся 
хвост заполняется нулями. Если вир- 
туальный размер меньше физическо- 
го, проекция секции в память автома- 
тически расширяется до физического 
размера. Короче говоря, из двух раз- 
меров всегда выбирается наиболь- 
ший, и он автоматически округляется 
go ближайшего Section Aliment в 
большую сторону. 

Виртуальный образ не может содер- 
жать никаких "дыр". Другими слова- 
ми, на всем своем протяжении он дол- 


жен быть непрерывен. Если мы попы- 
таемся спроецировать секцию по про- 
извольному виртуальному адресу, 
операционная система жестоко обло- 
мает нас. Поэтому виртуальные адре- 
са секций лучше не трогать. Лучше (и 
безопаснее) оперировать с физичес- 
кими. Так мы и поступим. 


ПЕРВЫЕ ЭКСПЕРИМЕНТЫ 

ш Рассмотрим простейшую програм- 
му, которая запрашивает пароль и 
контролирует целостность своего ко- 
да. Ключевой фрагмент исходного 
текста может выглядеть, например, 
так (полный вариант можно найти на 
компакт-диске в срайле demo.c): 
Htdefine РУМ "дофоип" — [оригинальный пароль 
[| начало охранной зоны 
begin(){ return 0;}endA(); 
main(int с, char **v) 
{ 

int CRC=0;char buff1024];unsigned char *a; 


// переменная должна быть статической, 

// потому что локальные переменные 

// инициируются прямо в коде, изменяя ero CRC 
static int _СВС = -1; 


[/ подсчет CRC 
for(a=(unsigned char*) begin; 

as(unsigned char *)endA;a++) 
CRC = (CRC + *a); 


// отладочная дверь под служебные нужды 
if (col) && !stremp(vft],""--debug")) 
printf("%X\n" CRC); 


a 


[/ если CRC не совпадают, выйти не прощаясь! 
// внимание! нельзя выводить никаких 

[/ ругательств, иначе нас засекут 

if (CRC ^ САС.) return 0; 


25 


// проверка пароля 
printf("enter password:"); gets(buf); 
if (stremp(buf, PSW_) 


Правка условного перехода в редакторе НТЕ 


printf(""wrong passwod\n"); 
else 
printf("password оК\п"); 
} 


// конец охранной зоны 
endA(){ return 0;} 


Откомпилировав программу своим 
любимым транслятором (например 
Microsoft Visual С++), запустим ее с 
ключом "--деБид" и посмотрим, какую 
контрольную сумму она напишет (в 
моем случае это 47h). Присвоим это 
значение переменной _СКС_ и пере- 
компилируем исходный код. Конеч- 
но, оставлять отладочный механизм 
в теле готовой программы нехорошо, 
однако в качестве демонстрационно- 
го примера такой трюк вполне сой- 
дет. Не будем обращать внимание на 
то, что оригинальный пароль лежит 
открытым текстом и кто угодно мо- 
жет подсмотреть его. Сосредоточим- 
ся исключительно на механизме са- 
моконтроля. 

Дизассемблирование защитного ме- 
ханизма сразу же показывает тот за- 
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Дизассемблирование и анализ программы на предмет взлома 


ветный условный переход, который 
рулит всем. Вот он - лежит по адресу 
AOIOBIh (см. скрин). 

Как видно, он ведет к той ветке кода, 
которая выводит "password ok", поэ- 
тому, если мы заменим jz |10с_4010СА 
на jmp short loc_4010CA, любой na- 
роль будет воспринят как правиль- 
ный. Для этого необходимо заменить 
74 17 (машинный код jz loc_4010CA) 
на ЕВ 17 (jmp short loc_4010CA). Бе- 
рем любой Нех-редактор, например 
НТЕ, создаем копию ломаемого срай- 
ла (я называл ee demo.crk.exe), загру- 
жаем в редактор, нажимаем <F6> 
(mode), выбираем режим pe/image, 
давим <F5> (goto), вводим адрес ус- 
ловного перехода (401ОВ1В), затем 
нажимаем <F4> (edit) и заменяем "74" 
на "ЕВ". Клавиша <F2> сохраняет все 
изменения в файле, а <F10> выводит 
нас из редактора. 

Запускаем хакнутую программу и... 
onc! Она не запускается! Так где там 
наш старый добрый 5о се? Загружа- 
ем программу в Symbol Loader, даем 
команду "bpm 401081" (установить 
точку доступа на обращение к ячейке 
AOIOBih, в которой расположен хакну- 
тый условный переход) и по <Ctri-D> 
выходим из отладчика, возвращая уп- 
равление программе. 

Отладчик тут же всплывает и, слов- 
но волшебная лампа Аладдина, мгно- 
венно переносит нас в штаб-квартиру 
защитного механизма, контролирую- 
щего целостность машинного кода. 

Так-так-так, контрольная сумма Ha- 
капливается в регистре EDX (MOV DL, 
[EAX]/ADD EDX, EBX), который тут же 
пересылается в регистр EBX (MOV 
EBX,EDX), а спустя некоторое время 
ЕВХ сравнивается с какой-то ячейкой 
памяти (MOV ЕАХ, [406030]/XOR 
ЕАХ,ЕВХ). Если они идентичны друг 
другу, выполняется условный пере- 
ход по адресу 401088h (JZ 401088). 
Вот этот переход и портит всю мали- 
ну, препятствуя нормальной работе 
хакнутой программы. Если изменить 
ХОК EAX,EBX (33 C3) на XOR EBX,EBX 
(33 ОВ или 31 DB), программа будет 
взломана окончательно. 
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Отладчик Softice, обнаруживающий стандартный механизм самоконтроля в исследуе- 


мой программе 


До и после взлома 


В редакторе НТЕ это делается так: 
загружаем срайл, давим <F6> (mode), 
выбираем pe/image, жмем <F5> (goto) 
и вводим адрес перехода (40107 8h), 
говорим <F4> (edit), а затем <Ctrl-A> 
(Assemble). Вводим "XOR EBX,EBX", 
и... НТЕ запрашивает, каким именно 
образом мы хотим ассемблировать ее. 
Этой возможности нет ни у одного 
другого известного мне Пех-редакто- 
ра! Выбрав любой вариант (оба они 
двухбайтные), нажимаем <F2> (Save) 


Встроенный ассемблер редактора НТЕ 
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для сохранения изменений и по <F10> 
выходим из редактора. 


ЗАКОНЧЕННАЯ РЕАЛИЗАЦИЯ 

и Попробуем усилить защищен- 
ность механизма самоконтроля. Доба- 
вим в начале программы следующие 
строки (полный вариант можно найти 
в файле demo.protected.c): 


// начало нестандартной кодовой секции с именем 151 
#pragma code_seg(".ts|" 


[Г начало охранной зоны 
egin(){ return 0;} 


// фиктивная функция, чтобы секция не была пустой 
@ето(){} 


// конец нестандартной секции 
#pragma code_seg() 


+ 


a ма 


// конец охранной зоны 
endA(){ return 0:} 


Прагма соде_ед(имя_секции) npeg- 
писывает линкеру размещать весь 
последующий код в секции с именем 
"$", что он и делает. На самом gene, 
как мы уже говорили, это никакой не 
ts], а вполне законная секция кода, 
только с другим названием. Чтобы 
линкер не отбраковал секцию как не- 
нужную, мы создает дфиктивную 
функцию аетой и окружаем ее "ох- 
ранной зоной". 

Прагма code_seg() отменяет 
действие предыдущей прагмы, и весь 
последующий код ложится линкером 
в стандартную секцию .text или CODE. 
Поскольку минимальный размер сек- 
ции составляет 1000h (вспомним про 
выравнивание), то, расположив 
endA() после code_seg(), мы получим в 
свое распоряжение 1000h байт. Толь- 
ко не перепутай их местами, иначе ни- 
чего не получится! 

Откомпилировав полученный пример, 
загрузим его в НТЕ и перейдем в режим 
отображения заголовка (<F6>, "РЕ-Пеа- 
der"). Мы видим секцию „1$, содержа- 
щую сфиктивную срункцию demo, и сек- 
цию .text с подлинным кодом програм- 
мы. <ENTER> распахивает содержимое 
атрибутов секций, a <F4> позволяет ре- 
дактировать их. Очень хорошо! 

Секция 415 отстоит на 1000h байт от 
начала сфайла, а .text - на все 20001. 
Чтобы отобразить первые 10001 байт 
секции .text на два региона адресного 
пространства, необходимо изменить 
raw offset первой секции, передвинув 
ее на 1000h байт вглубь файла. Nog- 
водим курсор к строке offset (здесь 
должно быть записано 10001), нажи- 
маем <F4> (edit) и изменяем ее на 
2000h. Сохраняемся по <F2> и выхо- 
дим. Запустив отредактированный 
срайл с ключом debug, мы видим, что 
его контрольная сумма не изменилась, 
значит, все было сделано правильно! 

Проверим, сумеем ли мы взломать 
это? Дизассемблер легко обнаружива- 
ет условный переход, определяющий 
правильность ввода пароля (в моем 
случае он расположен по адресу 
4020Aih). Меняем jz ххх на jmp short 
ххх. Программа видит, что контрольная 
сумма изменилась, и уже не срабаты- 
вает. Запускаем 5оЁ се и устанавлива- 
ем точку останова по адресу 4020Ath. 

Черт возьми, она не срабатывает! Ну 
не срабатывает и все, хоть ты тресни! 
Хакер до отупения может перебирать 
все отладчики один за другим, но от 
этого ничего не изменится, даже если 
запустить программу под эмулятором. 
Вот так прием! 


НЕСКОЛЬКО ПОЛЕЗНЫХ 
СОВЕТОВ 

m В нашем случае охраняемый ус- 
ловный переход располагался в пер- 
вых 1000h байтах от начала секции 
.text, поэтому этот трюк и сработал. Но 
ведь так бывает не всегда, правда? 


Редактирование атрибутов секции в редакторе НТ 


Допустим, защитный механизм распо- 
ложен по адресу 403069h, что тогда? 

Сначала нам необходимо onpege- 
лить относительный виртуальный ag- 
рес защитного механизма. Берем 
403069)h, вычитаем базовый адрес 
загрузки РЕ-файла (НТЕ показывает 
его в поле image Базе в разделе 
"optional header: NT fields", и в нашем 
случае он равен 400000h), получаем 
3069h. Округляем по величине вы- 
равнивания File Alignment в меньшую 
сторону. Получаем 3000h. Это и есть 
та величина, которую необходимо за- 
писать в none "offset" секции 45. Тог- 
да в защитную зону попадают все 
байты, расположенные между адреса- 
ми 30001 и 4000h. 

А если нужно проконтролировать 
более 10001 байт? Проще всего из- 
менить кратность выравнивания сек- 
ций (у MS Link за это отвечает ключ 
/ALING, например /ALING:16384 дает 
нам 4000h байт). Правда, и размер 
потребляемой памяти при этом воз- 
растает. Но кто запрещает нам соз- 
дать несколько подложных секций 
по 1000h байт каждая? Кончено, 
слишком большое количество сек- 
ций обязательно вызовет у хакера 
подозрения, и он сможет сообразить, 
что к чему. 

В принципе, можно создать секцию 
данных, разместить в ней статический 
массив заданного размера и отобра- 
зить поверх этого массива контроли- 
руемый код, однако тут все не так 
просто. Гнусный MS link и некоторые 
другие линкеры насильно комбиниру- 
ют нестандартные секции с основной 
секцией данных и никак не дают обой- 
ти это ограничение. Имеются и другие 
проблемы, но не будет углубляться во 
все посторонние тонкости, а удовлет- 
воримся тем, что есть. 


КАК ЭТО ЛОМАЮТ? 

и Разумеется, предложенная защи- 
та - не панацея от всех бед, и она лег- 
ко может быть взломана, особенно 
если хакер с ней уже познакомился. 
Достаточно лишь проанализировать 
таблицу секций, и мы сразу обнару- 
жим, что один и тот же участок файла 


отображается по нескольким вирту- 
альным адресам. 

Вернемся к нашему примеру 
demo.protected.exe. Загрузим програм- 
му в 50 се и установим точку остано- 
ва He Ha 4020Ath, a на 4010A th. Она 
сработает! Хакер может обнаружить 
этот адрес даже не заглядывая в таб- 
лицу секций. Достаточно посмотреть, 
какие команды расположены в окрест- 
ностях модисфрицируемой ячейки, и 
отыскать их в дизассемблерном лис- 
тинге. Они повторяются! А все потому 
что IDA Pro (и другие правильные 
дизассемблеры) эмулируют загрузку 
cpaiina, что разоблачает защитный ме- 
ханизм с головой. 

К тому же защита этого типа легко 
обходится простым онлайновым пат- 
чем, то есть изменением байтов не в 
срайле, а памяти: как уже было сказа- 
но выше, при проецировании РЕ-фай- 
ла в память все связи между 
родственными страницами утрачива- 
ются, и потому изменение содержимо- 
го одной секции уже не вызывает не- 
медленной реакции в другой. Вообще- 
то онлайновому патчу можно и проти- 
востать, поскольку он, как правило, 
базируется на довольно нежизнеспо- 
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собной сункции WriteProcessMemory 
из библиотеки TOOLHELP32, интегри- 
рованной в ядро Windows 2000 и ХР. 
Но стоит ли? Если хакер всерьез 
разъярится, он вообще не будет пра- 
вить никаких байтов, а напишет гене- 
ратор серийных номеров, регистраци- 
онных ключей или прочей мути, кото- 
рая отличает правильную программу 
от неправильной. 

Тем не менее, написание генерато- 
ров отнимает порядочное время, и 
на это решаются немногие. Поэтому 
абсолютно бесполезным наш трюк 
никак не назовешь. В комбинации с 
другими защитными приемами его 
действие только усиливается, а зат- 
раты на реализацию стремятся к ну- 
лю. К тому же он абсолютно законен 
с точки зрения операционной систе- 
мы, следовательно, побочные эф- 
фекты практически исключены. Кста- 
ти говоря, обработка защищенной 
программы упаковщиками исполняе- 
мых файлов на ее самочувствие ни- 
как не влияет. Но довольно саморек- 
ламы, пускай каждый решает само- 
стоятельно, использовать этот трюк 
или нет. 


ЗАКЛЮЧЕНИЕ 

m У любого защитного механизма 
есть свои сильные и слабые стороны, 
и любой из них может быть взломан. 
Не стоит строить иллюзий. Абсолютно 
надежных щитов не существует. Иде- 
ально острых мечей, кстати говоря, 
тоже. Война с хакерами породила на- 
стоящую гонку вооружений, которая 
совершенствует как орудия нападе- 
ния, так и инструменты для отражения 
атак. В этой игре нет ни правил, ни ог- 
раничений. Выигрывает не тот, кто 
сильнее, а тот, кто сумеет применить 
неожиданный прием, сбить с толку 
противника или выкинуть что-то еще. 

До тех пор, пока описанная защита 
не станет популярной, она будет рабо- 
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Одни и те же байты расположены по различным адресам 
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БОРЬБА С ОТЛАДЧИКОМ ) 


БОРЬБА rea 
С ОТЛАДЧИКОМ  \ 


ОСНОВНЫЕ АНТИОТЛАДОЧНЫЕ ФИШКИ В USER MODE 


ногим программам, особенно упакованным, не очень нравится, когда их запускают под отладчиком. От них можно 

ждать чего угодно: могут ограничиться выводом сообщения вроде "Debugger detected", могут завершиться вместе 
с отладчиком, а могут и жесткий диск попортить. В этой статье я хочу рассказать, как обычно реализуется 
обнаружение user mode отладчиков (OllyDbg, к примеру) и как избежать этого обнаружения. 
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АНТИОТЛАДКА 


и Использование 


АР!-функции 


IsDebuggerPresent 


Пожалуй, древней- 
ший способ обнаружения отладчика. 
"The IsDebuggerPresent function indi- 
cates whether the calling process is run- 
ning under the context of a debugger". 
Тут все просто: запускаем, смотрим 
результат, в зависимости от него де- 
лаем какую-нибудь гадость. Такое 
встречается почти в любом протекто- 
ре. Минус этой проверки в том, что 
поймать ее легче легкого: ставим бряк 
на функцию, подменяем результат - и 
все, антиотладка идет лесом. Избе- 
жать такого простого обхода провер- 
ки можно, если разобраться в том, от- 
куда IsDebuggerPresent берет инфор- 
мацию о наличии отладчика. Лезем 
дизассемблером в библиотеку и ви- 
дим ее код: 


TTET2740 том вах, dword ptr fs:[18] ; TEB 
TTET2746 mov eax, dword ptr [eax+30] 

‚ вах <- адрес РЕВ из TEB 
ПЕТЯ — movzx eax, byte ptr [eax+2] 

; eax <- BeingDebugged 
ЕТО гал 


РЕВ содержит информацию о неко- 
торых параметрах процесса. Если по- 
смотреть описание этой структуры, 
можно заметить, что третий байт в 
ней - это BeingDebugged, то есть флаг 
присутствия отладчика. Это значит, 
что для обнаружения отладчика мож- 
HO не вызывать API, а просто где yrog- 
но в коде проверять значение 
BeginDebugging. Обход этой штуки 
напрашивается сам собой: сразу пос- 
ле загрузки в отладчик обнулить 
флаг BeingDebugged. Какое Hanage- 
ние, такая и защита :). 


Поиск окна (или класса окна) от- 
ладчика 

FindWindow вернет хэнол окна, если 
оно найдено, либо null, если оно не 
найдено. С помощью этой замеча- 
тельной функции можно искать, есте- 
ственно, не только отладчик, но и лю- 
бую оконную программу, которой 
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пользуются при взломе (это могут 
быть, к примеру, мониторы FileMon и 
RegMon). Такая проверка может осу- 
ществляться в отдельном Tpenge, тог- 
да поиск получится не только до ОЕР 
запакованной программы, но и после 
него, то есть не выйдет даже запус- 
тить отладчик одновременно с прог- 
раммой (так, например, прибивают 
некоторые наиболее распространен- 
ные дамперы). Соответственно, обхо- 
дом этого защитного приема будет 
подмена результата вызова 
FindWindow, либо, более удобный ва- 
риант - замена имени и класса окна 
отладчика. Используется поиск окна 
во многих протекторах: ActiveMark, 
ACProtect (не путать с ASProtect), 
SoftDefender и gp. 


Поиск по имени процесса 

Производится с помощью ТооНр API, 
срункций CreateToolhelp32Snapshot, 
Process32First и Process32Next, кото- 
рые перечисляют все доступные про- 
цессы и получают для них структуру 
PROCESSENTRY32, содержащую по- 
лезную информацию о процессе. По- 
лучив список можно, например, зак- 
рыть непонравившийся процесс (ска- 
жем, если его имя равно имени про- 
цесса какого-нибудь известного от- 
naguuka). Еще есть параноидальная 
проверка у ACProtect: он считает 90- 
пустимым свой запуск только от 
explorer.exe и еще пары учтенных 
программ. Проверка работает элемен- 
тарно. В структуре PROCESSENTRY32 
есть поле DWORD 


th32ParentProcessID, в котором ука- 
зан PID процесса-родителя. Если 
Bgpyr это поле равно идентификатору 
неучтенного протектором процесса, 
то защита просто-напросто убивает 
своего родителя (печальная история, 
особенно когда хочешь запустить 
программу из-под какого-нибудь не 
очень популярного файлового менед- 
жера). 

Хорошо, что авторы ACProtect все- 
таки образумились и в последних вер- 
сиях такую проверку убрали, однако 
ACPR - не единственный протектор, в 
котором она была :). Обход - переиме- 
новать отладчик, к примеру, 
OllyDbg.exe в explorer.exe. Правда, тут 
возникает одна проблемка: плагины 
будут искать именно OllyDbg.exe, так 
как там находятся функции, которые 
они импортируют, поэтому в папке дол- 
жен остаться OllyDbg.exe, будем пере- 
именовывать и запускать его копию. 


Поиск сигнатур в памяти процесса 

Фактически это модификация Npeg- 
ыдущего способа, только хитрее - тут 
уже переименование ехе'шника от- 
ладчика не поможет. Так же, как и в 
предыдущем способе, перечисляются 
процессы с помощью TOOIHIp API, по- 
том каждый открывают с помощью 
OpenProcess и по некоторым адресам 
ищут сигнатуры неугодных программ, 
используя ReadProcessMemory. Что- 
бы защититься от такого обнаруже- 
ния, можно либо отлавливать вызовы 
вышеназванных АР! и подменять зна- 
чения, которые они возвращают, либо 
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попробовать убрать из ехетшника сиг- 
натуры, по которым его могут найти. 
Последнее позволит запускать целе- 
вую программу (например дампер или 
импрек), даже если ее поиск осущес- 
твляется в отдельном трейде. Приме- 
няется в Execryptor2, ActiveMark. 


Проверка присутствия отладчика с 
использованием 
SetUnhandledExceptionFilter и 
CheckRemoteDebuggerPresent 

Довольно-таки интересная штука. 
До детального рассмотрения она ка- 
залась мне особенно страшной и 
труднообходимой. 

Из справочника по API: "After calling 
this function, if an exception occurs п а 
process that is not being debugged, and 
the exception makes it to the Win32 
unhandled exception filter, that filter will 
call the exception filter function speci- 
fied by the lpTopLevelExceptionFilter 
parameter". Следовательно, API no- 
разному ведет себя в присутствии OT- 
ладчика и без него. И, что хуже, это не 
изменение возвращаемого значения, 
которое можно было бы легко подме- 
нять, а обработка исключения. Если 
процесс не отлаживают, то Ha фи- 
нальном исключении (не обработан- 
ном SEH), которое намеренно делает 
протектор (к примеру деление на 
ноль), управление переходит на уста- 
новленный с помощью 
SetUnhandledExceptionFilter обработ- 
чик, после которого программа спо- 
койно продолжает выполнять свои 
действия. Если же это происходит во 
время отладки, то управление переда- 
стся не на финальный обработчик, а 
отладчику, и программа падает, так 
как отладчик не знает, что делать. 
Посмотрим на код 
SetUnhandledExceptionFilter: 


TTETESAL том ecx, dword ptr [esp+4] 
TTETESAS mov eax, dword ptr [77ED73B4] 
TTETESAA — том dword ptr (77ED73B4], ecx 
TTETESBO ~—retn 4 


Смотреть, получается, почти не на 
что: в переменную записывается ад- 
рес финального обработчика, она бу- 
дет читаться в функции 
UnhandledExceptionFilter. Самое инте- 
ресное место функции кода можно 
посмотреть на скриншоте. 

Ниже адреса 77E93114 лежит проце- 
дура, передающая управление обра- 
ботчику, установленному 
SetUnhandledExceptionFilter. Под otnag- 
кой этот код не получает управление, 
так как осуществляется переход по ag- 
ресу 77E9310E. Соответственно, если 
занопить этот переход, то управление 
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UnhandledExceptionFi ilter 


Под отладчиком программа выполняется 


медленнее, чем без него. 


будет передаваться обработчику, как 
если бы отладчика не было. Здорово! 

Теперь о CheckRemoteDebugger- 
Present. Ее применение я впервые уви- 
дел в Obsidium 1.2, там же был и трюк 
с SetUnhandledExceptionFilter. 


BOOL CheckRemoteDebuggerPresent( 
HANDLE hProcess, 
PBOOL pbDebuggerPresent) 


Эта функция, в принципе, аналогич- 
на IsDebuggerPresent, но только по 
возвращаемым результатам. А ее на- 
чинка не похожа на IsDebuggerPresent 
совсем. Она, как видно, может прове- 
рять и другой процесс на наличие от- 
ладки, и способ проверки отличается 
от простого просмотра байта в РЕВ. 
Впервые она появилась в Windows ХР 
$Р1, поэтому ее использование не 
универсально. Функцию 
CheckRemoteDebuggerPresent можно, 
как обычно, перехватывать, а возвра- 
щаемые ею значения - подменять. 
Однако не остановимся на достигну- 
том и копнем поглубже, чтобы найти 
способы обхода. Смотрим код функ- 
ции на скриншоте. 

И опять видно использование 
NtQuerylnformationProcess, как и в 
UnhandledExceptionFilter. Именно она 
определяет наличие отладчика, ин- 
дфформацию о котором берет из ringO. 
Вызов №ОчцегупюгтаНопРгосез$ с 
параметром InfoClass = 7 (7 = 
ProcessDebugPort из структуры 
EPROCESS) является еще одним спо- 
собом определить, отлаживают ли 
нас. Если устранить эту проверку с 
помощью перехвата данной API, ан- 
тиотладочные трюки и с 
SetUnhandledExceptionFilter, и с 
CheckRemoteDebuggerPresent будут 
обезврежены. В чистом виде провер- 
ка через №ОчцегупЮгтаНопРгосе$$ 
есть, например, в Safedisk и 
SoftDefender, а косвенные (то есть с 
использованием двух вышеупомяну- 
тых API) есть в Obsidium и 
Execryptor2. 


Баг в OllyDbg при работе с 
OutputDebugString 

В Windows есть несколько функций 
API, предназначенных для взаимодей- 
ствия с отладчиком, одна из них - 
OutputDebugString. Она посылает от- 
ладчику строку, которую тот в свою 
очередь показывает пользователю. В 
отсутствие отладчика 
OutputDebugString ничего не делает. 
Баг заключается в неправильной об- 
работке посылаемой строки в OllyDbg. 
Если эта строка будет вида 
"MSAMS%VS%%...", TO Olly упадет с 
ошибкой чтения по адресу 
OOOO0O0OOth. Соответственно, сдохнет 
и отлаживаемая программа. Чтобы не 
дать уронить Olly, нужно не дать вы- 
полниться OutputDebugString с такой 
строкой либо пропатчить Olly, чтобы 
он вообще не реагировал на посылае- 
мые строки. Мне больше нравится 
последнее, тем более что это нетруд- 
но сделать. Этот антиотладочный 
трюк применяется в Armadillo, 
Execryptor2. 


Проверки времени (RDTSC, 
GetTickCount и т.п.) 

Под отладчиком программа выпол- 
няется медленнее, чем без него - на 
этом и основывается следующий ме- 
TOg антиотладки. Команду RDTSC 
обычно используют для определения 
тактовой частоты процессора и для 
измерения малых интервалов време- 
ни, она считает число тактов процес- 
сора с момента нажатия RESET. Заме- 
рив, сколько времени исполняется 
код без отладчика, можно внести его 
как эталон, и если время выполнения 
будет намного больше него, делаем 
вывод, что программу отлаживают. 
Таким же образом используют функ- 
цию GetTickCount, которая возвраща- 
ет количество миллисекунд, прошес- 
ших с момента запуска Windows. Бо- 
роться с такими трюками сложно. Ес- 
ли GetTickCount еще можно перехва- 
тывать, TO за RDTSC зацепиться труд- 
но: приходится искать ее в коде и 
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верка, которая может быть не един- 
ственной и далеко не единственной. 
Но, к счастью, использование таких 
трюков крайне ненадежно, так как 
процессоры бывают разные и ско- 
рость выполнения на них тоже быва- 
ет разная, да и многозадачность идет 
не на пользу таким проверкам. Поэто- 
му для обнаружения отладчика они 
применяются все реже и реже. Одна- 
ко более мягкие проверки, нацелен- 
ные на обнаружение остановок во 
время выполнения, являются доволь- 
но надежными (задан относительно 
большой допустимый интервал вре- 
мени) и применяются часто, но об 
этом позже. Жесткие проверки осо- 
бенно извращенно применяются в 
SoftDefender и еще некоторых мало- 
известных пакерах, авторы которых 
не слишком заботятся о совместимос- 
ти. SoftDefender - это глюковатый ки- 
тайский протектор, который ты вряд 
ли когда-нибудь встретишь на скачан- 
ной шароваре. Но с точки зрения ан- 
тиотладки в нем есть некоторые инте- 
ресные вещи, и об одной из них сей- 
час расскажу. 

Вот необычная проверка времени. 
Ее суть не в измерении времени вы- 
полнения кода, а в том, что при за- 
грузке программы в отладчик мы тра- 
тим много времени (по процессорным 
меркам), даже перед нажатием RUN в 
отладчике. Протектор, используя 
NtQuerylnformationProcess с InfoClass 
= ProcessTimes, получает время, когда 
процесс был создан. Потом через 
GetSystemTimeAsFileTime получает 
текущее системное время, далее сле- 
дует вычитание из одного другого и 
сравнение с заданным допустимым 
интервалом времени, который выбран 
относительно большим, поэтому лож- 
ных срабатываний на медленных про- 
цессорах не будет, но в то же время 
этот интервал меньше, чем время, за 
которое ты успеешь запустить прог- 
рамму в дебаггере. 

Еще один способ обнаружить отлад- 
чик - искать по тем изменениям, кото- 
рые происходят в программе при за- 
пуске под ним (но не являются четко 
документированными признаками от- 
ладки, как, например, байт 
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BeingDebugged в РЕВ). Я бы вообще 
промолчал о них (так как доподлинно 
не известно, надежны они или нет), ес- 
ли бы не их применение в ЕхеСгур юг, 
который порядочно распространился в 
последнее время. Там проверяется 
значение NtGlobalFlag из РЕВ: без от- 
ладчика оно равно нулю, с отладчиком 
и по умолчанию в XP SPI оно равно 
70h, и DWORD по смещению + 10h в 
ProcessHeap (взятом из РЕВ) - без от- 
ладчика там ноль, с отладчиком по 
умолчанию в ХР SPI tam 40000060h. 


Проверка времени выполнения кода в 
Armadillo 


Стандартная проверка наличия байта 
ССВ в SoftDefender 


Когда исследуешь протектор, ставить 
бряки на начало АР|-функции, мягко 
говоря, опрометчиво. 


Это были, в принципе, все наиболее 
распространенные трюки, используемые 
ring3-npoteKTopamu для обнаружения 
ппа3-отладчиков. Существуют также не- 
надежные антиотладочные трюки вроде 
проверок, которые могут быть примене- 
ны только при определенных условиях 
(версия Windows (9x/Nt) или наличие ад- 
министраторских привилегий). 


АНТИТРАССИРОВКА 

и Антитрассировкой я буду назы- 
вать процесс, который мешает отла- 
живать (читай "исследовать/взламы- 
вать") программу, но не запрещает 
простой запуск программы под отлад- 
чиком, то есть противостоит действи- 
ям взломщика, а не отладке вообще. 


Использование замеров времени 

Об этом я уже рассказывал выше, 
поэтому здесь приведу конкретный 
пример. Для получения чистой IAT во 
многих протекторах нужно править 
что-либо в процедуре заполнения 
этой самой IAT. В Armadillo нужно за- 
нопить всего один условный переход, 
но для этого ты должен предвари- 
тельно найти его (даже если знаешь, 
где искать, все равно потратишь вре- 
мя) плюс поставить бряк на конец 
процедуры (чтобы восстановить изме- 
ненные байты). Короче, затратить 
промежуток времени, очень большой 
по сравнению с тем, сколько эта про- 
цедура выполняется без вмеша- 
тельств. И Arma проверяет это время. 

На куске кода видно, что по адресу 
3DA7BA вызывается GetTickCount, а 
несколько ниже по адресу 3DA7D7 
происходит сравнение результата с 
допустимым значением: если меньше 
или равно, то УВЕ выполняется и все 
ОК; если больше, то не выполняется и 
в переменную [ЕВР-26СС] записыва- 
ется единица, которая сигнализирует 
о том, что некто копается в процедуре 
обработки импорта. При этом протек- 
тор не будет выдавать никаких сооб- 
щений об отладчике и т.п., а под шу- 
мок заведомо ошибочно выполнит за- 


полнение IAT, и придется потратить 
время, чтобы найти эту проверку. 


Защита от обычных СС-бряков 

Когда исследуешь протектор, ста- 
вить бряки на начало АР!-функции 
(как советуют в некоторых статьях Бр 
addr_api), мягко говоря, опрометчиво. 
Почти все защиты проверяют, по 
крайней мере, исследуется первый 
байт вызываемой срункции на присут- 
ствие байта ССН. 

Есть и простенькие проверки, как, 
например, в SoftDefender. 

Тупо проверяются первые пять 
байт. Взломщику в этом случае нужно 
ставить бряк на середину или на ко- 
нец (ret) функции. Однако бывают и 
сложные проверки (например в 
ExeCryptor2 или ASProtect), когда 
почти вся основная ветвь вызывае- 
мой АР! дизассемблируется и, соотве- 
тственно, проверяется целиком на на- 
личие ССК. В таких случаях нужно ли- 
бо ставить точку останова куда-ни- 
будь вглубь АРЕфункции (в са!ы), 
либо воспользоваться другим типом 
бряка, например на доступ к памяти. 
Но байт ССП ищут не только в API. 
Когда ты выполняешь Step over (<F8> 
в Olly) через какой-нибудь call, на 
следующую за ним команду отладчик 
ставит ССВ-бряк. И он может быть 
легко обнаружен в подпрограмме 
внутри са! а, поэтому в таких случаях 
взломщику предстоит использовать 
He Step over, а вручную ставить бряк 
куда-нибудь после call, HO He на пер- 
вую после него команду, и выполнять 
RUN (<F9>). 


Защита от точек останова Ha goc- 
туп к памяти (ВРМ) 

Такие бряки очень удобны для поис- 
ка ОЕР в запакованных программах, 
если протектор не украл начальные 
байты. Поэтому во многих статьях по 
относительно простому CcocpTy совету- 
ют ставить BreakPoint memory on 
access на секцию Koga. Эти бряки ос- 
нованы на изменении атрибутов goc- 
тупа страницы памяти, к которой отно- 
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Формат регистров DR6 и DR7 


CONTEXT содержит информацию о 

текущем состоянии потока, то есть 

значения регистров и т.п., включая 
отладочные ОБх-регистры. 


сится адрес, на который установлен 
BPM. Когда ставится memory on 
access, Olly, используя функцию 
VirtualProtect, меняет доступ к страни- 
це на PAGE_NO_ACCESS, а когда 
memory оп write, то Ha PAGE_EXE- 
CUTE_READ. Соответственно, при Ha- 
рушении прав доступа к странице (по- 
пытке чтения, выполнения или запи- 
си) управление переходит к отладчи- 
ку, который уже смотрит, к тому ли ag- 
ресу происходит обращение. Мини- 
мальный размер страницы памяти в 
Windows равен 1000h. Если ты поста- 
вил ВРМ на доступ всего к одному 
байту, то отладчик все равно будет 
внутренне обрабатывать обращение 
ко всей странице, на которой располо- 
жен этот байт, поэтому BPM, особенно 
оп ассез$, может сильно замедлить 
выполнение программы. Такой отла- 
дочный метод обнаруживается про- 
веркой атрибутов доступа с помощью 
VirtualQueryEx. Соответственно, если 
обнаружено, что доступ к странице не 
такой, каким должен быть, то протек- 
тор, используя VirtualProtect, либо ме- 
няет его (что фактически означает 
отключение установленного ВМР - не 
стоит сильно удивляться, если он не 
сработает), либо выдаст сообщение 
06 обнаруженном отладчике и т.п. 


Защита от Hardware Breakpoints 
(HW) 

HW-6paky, пожалуй, самые удобные 
при исследовании программ. Они ра- 
ботают на отладочных DRx-peructpax, 
прямой доступ к которым из рингЗ не- 
возможен. Установленные Н\М!-бряки 
не меняют код программы и доступ к 
страницам памяти, но все равно обна- 
ружить их очень просто... Для начала 
немного информации о DRx. Есть все- 
го шесть доступных регистров отлад- 
ки: DRO-DR3 хранят адреса установ- 


Код одного из обработчиков исключе- 
ний в obsidium'e 


ленных бряков (отсюда и ограничение 
количества оных - всего четыре шту- 
ки), DR6 и DR7 предназначены для 
контроля и задания параметров пер- 
вым четырем, DR4 и DR5 - не исполь- 
зуются (зарезервированы). Формат 
регистров DR6 и DR7 ты можешь уви- 
деть на картинке. 

DR6 показывает текущее состояние 
бряков, поэтому не слишком интере- 
сен, а BOT DR7, можно сказать, управ- 
ляет ими: LO-L3 - биты, означающие, 
активирован или деактивирован соот- 
ветствующий DRO-3 в контексте дан- 
ного потока; RWO-RW3 - биты, опреде- 
ляющие условие соответствующего 
бряка DRO-3: 

00 - on execute, 

01 - on write, 

10 - обращение к порту ввода-вывода, 

1 - on access; 

LENO-LEN3 - длина бряка: 

00 - byte, 

01 - word, 

10 - не определено, 

1 - dword. 

Видно, что в ОБх заключены широ- 
кие возможности для отладки прог- 
раммы, и ко всем этим возможностям 
имеет доступ сама программа! Дело в 
том, что в обработчике исключений 
она получает доступ к структуре 
СОМТЕХТ (которой, кстати, и пользу- 
ется отладчик через функции 
SetThreadContext и 
GetThreadContext). CONTEXT cogep- 
жит информацию о текущем состоя- 
нии потока, то есть значения регист- 
ров и т.п., включая отладочные DRx- 
регистры. Если изменить значение 
какого-либо регистра в CONTEXT, то 
при возвращении из обработчика 
исключений оно окажется в самом 
этом регистре. Таким образом, прог- 
рамма может косвенно читать и пи- 


Кусок кода одного из обработчиков иск- 
лючений ACProtect 


сать в ОКх. Поэтому почти во всех 
протекторах практически бессмыс- 
ленно устанавливать такой удобный 
для нахождения ОЕР (или начала 
краденых байт) НМ/-бряк на восста- 
новление стека [esp-4] на EP - протек- 
торы в обработчиках искусственно 
сделанных исключений записывают в 
CONTEXT.DRx нули или мусор. 

Но запись нулей - это еще не самое 
интересное. Иногда применяется са- 
мотрассировка: с помощью CON- 
ТЕХТ.ОКх протектор расставляет в 
своем коде Н\М/-бряки, и если какой-то 
из них не сработает, то выполнение 
пойдет неверным путем и программа 
упадет. Такая самотрассировка при- 
менена, например, в ACProtect. 


Running line 

Структуру CONTEXT в протекторах 
используют не только для управле- 
ния ОБх-регистрами. Еще одним при- 
мером антитрассировочного трюка с 
ее использованием является так на- 
зываемая running line-TpaccupoBka. 
Заключается она в следующем: снача- 
ла флаг T (trace) устанавливается 
равным единице следующим кодом: 


pushfd 
pop eax 
push eax 
or ah, 1 
push eax 
popfd ; T=1 
nop 


При установленном сфлаге трасси- 
ровки Т=1 выполняется одна следую- 
щая команда, после которой флаг T 
сбрасывается в ноль и возникает 
исключение Single step event. В при- 
веденном коде это происходит после 
команды МОР, за которой следуют 
специфически зашифрованные ко- 
манды. К примеру, в каждой из них 
поксорен первый байт (поэтому они 
выглядят как куча мусора). На воз- 
никшем исключении Single step event 
управление передается обработчику, 
в котором первый байт команды 
расксоривается, первый байт преды- 
дущей команды ксорится и модифи- 
цируется значение регистра флагов 
Eflags в структуре CONTEXT (выстав- 
ляется Т=1). Соответственно, после 
выполнения следующей (только что 
расшифрованной) команды происхо- 
дит то же самое и т.д. Разбирать та- 
кой живой код под отладчиком очень 
неудобно. Применяется running line в 
XtreamLok (включен в SoftWrap). 


THE END 

и Bot и подошел к концу. Hage- 
юсь, эта статья помогла тебе разоб- 
раться, как работают самые простые, 
но популярные антиотладочные прие- 
мы в user mode. Может быть, инфор- 
мация будет полезна тебе независимо 
от того, собрался ты писать защиту 


или ломать ее. 
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Bit-hack (bit-hack@mail.ru) 


НАВЕСНАЯ Ln 
ЗАЩИТА 


РАЗБОР ПОЛЕТОВ СРЕДИ СИСТЕМ ЗАЩИТЫ И УПАКОВКИ 
WIN32 РЕ-ФАЙЛОВ 


Ч то такое навесная защита, каковы ее достоинства и недостатки, чем упаковщики отличаются от протекторов и 
зачем нужны скрэмблеры = обо всем этом ты узнаешь из этой статьи. Кроме того, сможешь научиться писать 


скрэмблер UPX самостоятельно. 


НЕМНОГО ТЕОРИИ 


m Для начала кратко 


опишу принципы рабо- 


ты упаковщиков. Обыч- 


но они "навешивают- 


ся" на уже скомпилированные РЕ- 
файлы (win32 Portable Executable), 
уменьшая их размер и частично обес- 
печивая защиту исполняемого кода и 
некоторых других составляющих РЕ- 
файла. Стоит, впрочем, отметить, что 
существуют упаковщики, которые вы- 
полнены, например компоненты 
Delphi, но такие типы упаковщиков мы 
сегодня рассматривать не будем, так 
как нам не требуется привязка к OGHO- 
му языку. 


Итак, принцип работы рассматривае- 
мых упаковщиков (операции с фай- 
лом, по шагам): 


Ф. проверка срайла (на принадлеж- 
ность файла к win32 PE, на упакован- 
ность, на возможность сжатия); 

@. упаковка кода и некоторых gpy- 
гих частей файла; 

@. добавление распаковщика; 

@. правка некоторых полей РЕ-заго- 
ловка (для дальнейшей работоспо- 
собности файла). 

Но иногда попадаются упаковщики, 
которые еще сильнее изменяют 
фрайл, например УРХ, перестраиваю- 
щий весь сфайл во внутренний ‹фор- 
мат. В этом случае запуск происходит 
по еще более простой схеме (для упа- 
ковщиков): 

@. Выполнение распаковщика. 

@. Переход на OEP (оригинальная 
точка входа в программу), то есть на 
тот код, с которого и начиналась неза- 
пакованная программа. На ассембле- 
ре такой переход выглядит примерно 
так (пример на UPX): 


POPAD ; Восстановили все процессорные регистры 
JMP 01012475 ; Перешли на OEP 


@. Сохранение всех процессорных 
регистров и (иногда) срлагов. 
@. Сбор служебной информации. 


ХАКЕРСПЕЦ 
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@. Подготовка протектора к работе 
(заполнение необходимых таблиц, 
значений). 

@. Выполнение кода для обнаруже- 
ния отладчиков (редко помогает, так 
как у реверс-инженеров уже написа- 
ны средства для борьбы с таким ко- 
дом, точнее не с кодом, а с тем, как 
этот код определяет отладчик). 

©. Проверка CRC (циклический 
контроль избыточности). СВС исполь- 
зуется для проверки файла на изме- 
нение. 

@. Выполнения кода расшифровщи- 
ка (часто расшифровщик не один), 
напичканного антиотладочным кодом 
и мусором. 

@. Создание таблицы импорта 
(обычно она сильно видоизменяется, 
создаются переходники на оригиналь- 
ные функции, также функции эмули- 
руются, копируются). 

@. Стирание всего кода протектора 
(это не всегда - зависит от протектора). 
@. Продолжение нормального вы- 

полнения программы. 


Некоторые упаковщики (не протек- 
торы!) содержат в себе и распаковщи- 
ки (для своего же упаковщика). При- 
мер такого упаковщика, опять же - 
UPX, распаковщик которого не только 
распаковывает сфайл, но и перестраи- 
вает структуру файла в первоздан- 
ный вид. Но, как всегда, программисты 
решили защищать свои творения 
упаковщиком, а в результате появи- 
лись так называемые скрэмблеры, ко- 
торые слегка изменяют сфайл, чтобы 
тот не был опознан распаковщиком и 
принят как непригодный для распа- 
ковки... Но и воюющая с ними сторона 
не стала складывать руки, и были на- 
писаны программы для восстановле- 
ния структуры файлов, чтобы распа- 
ковщик смог сделать свое "черное де- 
ло". В некоторых случаях эти програм- 
мы сами не справляются, так что пос- 
ле них приходится заканчивать вос- 
становление руками. 

А для тех упаковщиков, которые не 
содержат в себе распаковщиков, пи- 
шутся (естественно, другими автора- 


Оригинальный размер сайла 21504 6750208 7619 846336 
Упаковщики 

ASPACK 2.12 17408 2683904 10240 387584 
EXE32PACK 1.38 18230 3287498 7108 477548 
EZIP 1.0 47585 4679082 39180 735467 
FSG 2.0 11789 3185885 4337 439673 
JDPACK 1.01 17920 3887104 8704 470528 
МЕМЛО 1.1 12526 3161991 4278 463181 
МЕМ/Т SE 1.0 11273 2508897 4215 363849 
PACKLITE 15360 4121088 6144 560128 
PCSHRINKER 0.71 14336 3872256 6144 438784 
PECOMPACT 2.38(Aplib) 14336 3068928 7168 413696 
PECOMPACT 2.40(BriefLZ) 16384 3630592 8192 475648 
PECOMPACT 2.40(FFCE) 14336 2876928 7680 405504 
PECOMPACT 2.40(LZMA) 14848 2452480 8192 367104 
PEDIMINISHER 0.1 16922 3204122 6682 560154 
PEPACK 1.0 15872 3814400 7680 425984 
UPX 1.92 beta 12800 2774016 5632 395776 
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Dotfix.net - настоятельно рекомендуется к прочтению 


ми, обычно реверс-инженерами) авто- 
распаковщики, которые исполняют 
свои обязанности пусть и хуже, чем 
распаковщики от авторов (например, 
недавно мной был написан распаков- 
щик для УРХ), но распаковывают 
файлы, после чего можно начать ис- 
следовать код с целью его "заимство- 
вания" или просто взлома программы. 
Опытные люди распаковывают Cpai- 
лы "руками", берется отладчик, дам- 
пер процессов и программа для вос- 
становления импорта, после чего все 
"смешивается в нужных пропорциях". 
При ручной распаковке во время за- 
пуска любое приложение оказывает- 
ся распакованным (когда этот код уже 
распакован и способен нормально ра- 
ботать, отслеживается передача уп- 
равления из кода протектора/упаков- 
щика в код оригинальной программы, 
после чего весь файл скидывается из 
памяти на жесткий диск и правится). 


ДЛЯ ТЕХ, КТО МОЖЕТ 

и Люди, имеющие деньги, защища- 
ют свои программы с помощью gpyro- 
го подкласса упаковщиков - протекто- 
ров. Эти защитные системы специали- 
зируются на защите, а не на упаковке 
(хотя тоже упаковывают). Многие 
программисты считают, что защитные 
механизмы, написанные реверс-инже- 
нерами (пусть даже бывшими) прине- 
сут только зло и что реверс-инжене- 
ры будут их ломать сами... Это боль- 
шая ошибка: тот, кто занимался или 
занимается реверсингом, лучше всех 
знают про всевозможные уловки, сек- 
реты и многое другое, что помогает 
создать действительно надежные за- 
щитные системы. А взлом программ, 
упакованных своим же протектором - 
неблагодарное дело, из-за которого 
популярность протектора может 
упасть навсегда. Надеюсь, эта статья 
развеет такие заблуждения. Какие же 
защитные системы распространены 
шире и популярнее остальных? 


@. AsProtect - протектор, написан- 
ный отечественным программистом - 
Алексеем Солодовниковым (когда-то 
занимался взломом). Он создал 


действительно мощную систему за- 
щиты. Основные преимущества этого 
протектора: 

@.0. Защита кода программы с по- 
мощью очень стойких криптоалго- 
ритмов. 

@.O. Защита таблицы импорта (в 
последних версиях протектора защи- 
та позаимствована из Obsidium). 

©.9. Предоставление служебных 
функций для проверки регистрацион- 
ных ключей и для многого другого. 

©.0. Использование виртуальной 
машины, при помощи которой защи- 
щается главная ветвь кода программы. 

0.0. Упаковка срайла. 

0.0. Хорошая техническая под- 
держка. 

@.0. Сильная интеграция в код 
программы, очень серьезно мешаю- 
щая при распаковке - приходится 
изощряться любыми способами и вос- 
станавливать недостающий код. 


@. Armadillo - довольно старый про- 
тектор, содержащий некоторые рево- 
люционные технологии. Его основные 
преимущества: 

@.O. Защита кода программы с при- 
менением очень стойких криптоалго- 
ритмов. 

9.0. Защита таблицы импорта. 


@.. Предоставление служебных 
функций для проверки регистрацион- 
ных ключей (в данном протекторе ис- 
пользуется плохой алгоритм - были 
найдены "дыры", а после этого были 
"закейгенены" приложения, защи- 
щенные Armadillo и использующие 
функции проверки регистрационных 
ключей) и многих других. 

©.0. Упаковка файла. 

©.0. Применение технологии 
СоруМет II, которая ни за что не поз- 
волит реверс-инженеру получить 
весь код программы (сразу :), а только 
если докопировать недостающие кус- 
ки программы по мере надобности. 

©.0. Применение технологии 
Nanomites. При защите эта опция яв- 
ляется самой мощной. Очень немно- 
гие реверс-инженеры, умеющие сни- 
мать Armadillo почти со всеми опция- 
ми, умеют снимать с этой опцией. Эта 
опция затирает все переходы в прог- 
рамме (пределы помечены програм- 
мистом), заменяя из специальной от- 
ладочной командой int 3, и при попыт- 
ке их выполнения защита вставляет 
их обратно (затирая, когда нужда в 
них пропадает). Снятие этой защиты 
со всеми опциями занимает примерно 
один-два часа... Armadillo - моя люби- 
мая защита. 


©. ExeCryptor 2 - no сповам авторов, 
данная защита неломаема :). Как на- 
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Помимо знаменитого AsProtect, Алексей Солодовников 
написал также упаковщик AsPack 
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Создатели ExeCryptor уверены, что взломать их защиту невозможно 
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Gy) защита 
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ИВНО... Как говорил ORC, все, что мож- СКРЭМБЛЕР UPX СВОИМИ РУКАМИ 
но запустить, можно и взломать. Эти 


слова подтверждаются и в данном 
случае, о чем мне недавно заявил 
очень влиятельный человек. Взлом 
этой защиты является очень затрат- 
ным (люди, написавшие инструмент 
для снятия защиты, просят за него от 
$1000). Однако на эти деньги можно 
получить неплохую гарантию того, 
что программа не будет взломана. 
Преимущества: 

9.0. Применение виртуальной 
машины. 

9.0. Обработка кода метаморсфным 
движком (это главное преимущество). 

9.9. Защита кода программы с при- 
менением очень стойких криптоалго- 
ритмов. 

9.0. Защита таблицы импорта. 


@. Obsidium - относительно новый 
протектор, средний по стойкости, не 
имеет особых возможностей для на- 
дежной защиты. Преимущества: 

0.0. Хорошая защита импорта. Эта 
технология оригинальна: реверс-ин- 
женеру, не знакомому ни с чем подоб- 
ным, будет трудно разобраться с за- 
щитой. 

@.O. Защита кода программы с при- 
менением очень стойких криптоалго- 
ритмов. 

0.0. Упаковка файла. 

9.0. Предоставление служебных 
функций для проверки регистрацион- 
ных ключей и многое другое. 


®. VmProtect - защита, основанная 
на превращении нужного кода в псев- 
gokog (код, который интерпретируется 
виртуальной машиной), который за- 
тем интерпретируется мощной вирту- 
альной машиной. Достоинства: 

9.0. Применение мощной виртуаль- 
ной машины, для которой очень слож- 
но написать декомпилятор (преобра- 
зователь из псевдокода в стандарт- 
ный машинный код) псевдокода. 

9.9. Защита бесплатна. 


ХАКЕРСПЕЦ | 08(57) | 2005 


СКРЭМБЛЕР UPX СВОИМИ РУКАМИ (ПРОДОЛЖЕНИЕ) @. XProtector - защита, основанная 
на применение драйвера, который 


очень усложняет распаковку. Hegoc- 
татки этого протектора - скорость за- 
пуска приложения и очень низкая 
стабильность (часто перезагружает 
компьютер без видимых причин). Пре- 
имущества: 

9.0. Применение драйвера. 

9.0. Хорошая защита импорта. 

9.9. Упаковка файла. 

9.0. Защита кода программы с при- 
менением очень стойких криптоалго- 
ритмов. 


Ф. StarForce - старая защита, напи- 
санная старыми реверс-инженерами 
России. В ней применяется драйвер 
защиты. В основном используется 
для защиты игр (без диска игра не 
расшифровывается). Но недавно поя- 
вилась обычная защита (без привяз- 
ки к диску), которую снимает очень 
низкий процент реверс-инженеров - 
эта защита для элиты. Однажды нашли 
ее очень серьезный недостаток: за- 
щита сжигает У$В-приводы. Зато она 
может и порадовать: 

Ф.О. Одно название защиты будит 
в душе реверс-инженера чувство без- 
надежности :). 

0.0. Применяется хорошо отлажен- 
ный драйвер, который не дает подсту- 
питься к защите. 

0.9. Применяется виртуальная ма- 
шина, до которой практически не воз- 
можно добраться при попытке отладки. 

Ф.О. Защита кода программы с при- 
менением очень стойких криптоалго- 
ритмов. 


о 
г 
хм 
о 
< 
|. 4 
о 
- 
г 
< 
_ 


Все преимущества этой защиты 
трудно перечислить, так как они мало 
кому известны :). 

Самой перспективной (по моему 
мнению) защитой является AsProtect. 
Так как Алексей с каждым новым бил- 
дом добавляет что-то новое и очень 
неприятное, защита очень сильно 
"поднялась" со времен AsProtect 1.23. 
Рекомендую ее или Armadillo (He со 
всеми опциями, желательно без Сору 
Mem II, так как из-за нее очень сильно 
падает производительность програм- 
мы, а толку с нее мало) всем, кто » 


9 meme Ва 1 28 a2 pd et} 


о 
=. 
x 
о 
< 
|. 4 
о 
- 
=. 
< 


НАВЕСНАЯ ЗАЩИТА ) 


действительно хочет защитить свой 
программный продукт. 


ЗАЩИТА НА ПРАКТИКЕ 

m О! Это целое искусство. Существу- 
ет множество аспектов, от которых за- 
висит качество защиты приложения. 
Для каждого протектора они индиви- 
дуальны. Разберем их с несколькими 
из описанных протекторов. 


@. AsProtect 

В главном окне AsProtect советую 
установить галочки: Resources 
Protection, Preserve Extra Data, Anti- 
Debugger Protection, CheckSum 
Protection, Protect Original EntryPoint(!), 
Emulate standard system functions(!), 
Advanced Import protection(!), Best 
Compression, Create backup copy (BAK- 
Не). После этого указать путь к тар- 
файлу. С этими опциями AsProtect мак- 
симально защитит программу и соз- 
даст резервную копию файла (она 
нужна - мало ли что случится). В сле- 
дующих закладках выбирай сам: они 
не влияют на защиту приложения 
серьезно, так как отвечают за регист- 
рационные ключи и trial. Я не советую 
использовать некоторые ар-функции, 
предоставляемые AsProtect'om: 
GetRegistrationInformation, так как пос- 
ле снятия AsProtect'a эта сфункция 
"эмулируется", то есть пишется код, ко- 
торый всегда возвращает, что прог- 
рамма зарегистрирована. Соответ- 
ственно, твоя защита быстро нейтрали- 
зуется. 


@. Armadillo 

С такими опциями, как показано на 
рисунке, защита будет на максималь- 
но возможном уровне. Но может слу- 
читься упадок производительности, 
если они покажутся слишком больши- 
ми, и тогда передвинь шарик на одну 
позицию вниз. Служебные функции, 
предоставляемые защитой, использо- 
вать не советую (кроме функций про- 
верки ключей). И вот почему. Однаж- 
ды судьба вынудила меня взяться за 
взламывание программы, на которой 
"висела" Armadillo uv в которой приме- 
нялись функции проверки регистра- 


АНТеат UPX Mutanter прячет сигнатуру, 
заменяя ее другими 
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ции. Я решил сделать по-хитрому: на- 
писал 4!-библиотеку, содержащую не- 
обходимые срункции, которые возвра- 
щали мой ник, после чего программа 
стала зарегистрированной... Халява 
всегда такая ;-). 


СКРЭМБЛЕРЫ 

м И вот мы добрались go долго- 
жданных скрэмблеров. Я уже объяс- 
нил, что это такое и зачем оно нужно, 
но не сказал, что существуют разные 
скрэмблеры: одни просто исправляют 


Кроме Stealth РЕ, советую попробовать 
Hide РЕ от того же автора 


Скрэмблер PeStubOEP or GPcH также 
широко известен 


файл для невозможности дальней- 
шей автораспаковки, а другие могут и 
добавлять свой код во имя практичес- 
ки полной невозможности восстанов- 
ления автораспаковки. 


@. AHTeam UPX Mutanter 

Этот скрэмблер прячет сингатуру 
(устойчивую последовательность 
байтов с точки входа) УРХ, заменяя 
ее различными другими, после чего 
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Возможность подмены сигнатур есть ив 
АНТеат EP Protector 


UPX определяется как какой-либо 
протектор и добавляет небольшой 
расшисфровщик. И в результате вос- 
становить возможность автораспа- 
ковки трудно. 


@. Stealth PE by BGCorp 

Скрэмблер, написанный моим gpy- 
TOM, является еще одной программой 
для подмены сингатуры. Программа, 
обработанная этим скрэмблером, пос- 
ле запуска "убивает" некоторые ути- 
литы для взлома. 


©. AHTeam EP Protector 

Тоже весьма неплохой скрэмблер. 
Умеет подменять сигнатуры и добав- 
лять защиту от автоматических поис- 
ковиков оригинальной точки входа в 
программу. 


@. PeStubOEP 

Программа предназначена для защи- 
ты ЕХЕ-файлов от определения их ком- 
пилятора/упаковщика сниферами типа 
РЕЮ и PE Sniffer. Поддерживает прак- 
тически все упаковщики, кроме FSG. 
Также, если ЕХЕ-файл не упакован и 
написан Ha МЕС C++, Delphi 6.0/7.0 или 
Visual Basic 5.0/6.0, то PeStubOEP nps- 
чет в Stub'e некоторые байты из OEP 
вперемешку с мусорными байтами, что 
усложняет восстановление ОЕР. Очень 
удобно, что программа ведет деталь- 
ный лог своей работы. 


© DotFix FakeSigner Бу GPcH 
Очередная защита. Основные BO3- 
можности: 
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Скрэмблер PeStubOEP от GPCH также широко известен 


@.0. Добавление в код программы 
дополнительных кусков кода, 3aTpyg- 
няющих трассировку и распаковку. 

Ф.0. После обработки программы 
данным протектором сниферы ска- 
YT, что программа защищена go- 
вольно навороченным протектором. 
Хотя, возможно, скоро сниферы нач- 
нут определять данный протектор, но 
это никак не поможет крэкерам выя- 
вить реальный упаковщик. 

@.O. При загрузке защищенных 
программ в некоторых дизассембле- 
рах те начинают глючить и не дизас- 
сембпируют код. 

Ф.О. Возможность изменения имен 
секций (как на одинаковые, так и на 
имена различных упаковщиков). 

Ф.0. Специализированный скрэмб- 
лер UPX 0.6, UPX 1.24, UPX 1.9, FSG, 
Petite. 

Ф.0. Программа ведет детальный 
лог своей работы. 

Ф.О. Имеется возможность выбора 
внедряемой сигнатуры, обманываю- 
щей PEID и подобные сниферы. 

Ф.0. Присутствует также возмож- 
ность выбора метода защиты. 


© boil ix f akosigner м7. В Stop 1 


0.0. Возможность шифровки точки 
входа и секции кода программы (толь- 
ко в зарегистрированной версии). 

Ф.0. Есть превосходный генератор 
мусорных команд. 

0.9. Программа регистрируется в 
контекстном меню Windows. Теперь 
для более быстрой защиты программ 
щелкни по ним правой кнопкой и вы- 
бери пункт Protect with DotFix 
FakeSigner. 

@.@. DotFix уже имеет встроенный 
сниффер. Отныне сниферы не нужны 
для определения, чем упакована 
программа - эту задачу может выпол- 
нять DotFix. 

@.@. DotFix позволяет узнать ин- 
формацию из РЕ-заголовков ЕХЕ-сай- 
ла, а также информацию о секциях. 

@.O. Защита от трассировки и кор- 
ректная обработка или удаление 
Bound Import Directory. 


Заканчивая обзор скрэмблеров, я 
могу посоветовать: Stealth РЕ, 
Morphine, АНТеат EP Protector. 


Дерзай. 
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КЛЮЧИК К СЕРДЦУ 


Chingachguk/HI-TECH (chingachguk@newmail.ru) 


КЛЮЧИК aN 
К СЕРДЦУ 3 


ВСЕ ОБ АППАРАТНЫХ КЛЮЧАХ ЗАЩИТЫ 


уществует множество аппаратных ключей защиты. По заявлениям производителей, "с помощью ключей HASP 
защищено более 2/3 коммерческих программ, разработанных и продаваемых на территории СНГ и стран Балтии". 
Тем не менее, и этот способ защиты имеет ряд существенных недостатков, которыми можно воспользоваться. 


ГОНКА ВООРУЖЕ- 


ш Итак, dongle (ключ), 


компонента многих за- 


щит, используется, как 
правило, для защиты от незаконного 
использования программ, но также 
может (по утверждениям разработчи- 
ков) использоваться для авториза- 
ции/защиты баз данных и т.п. Втыка- 
ется в LPT-nopt (это уже в прошлом) 
или в USB. Для нормальной работы 
может потребоваться установка 90- 
полнительных драйверов, не связан- 
ных с комплексом защиты. В общем и 
целом dongle представляет собой 
часть алгоритма защиты, вынесенную 
в аппаратную область, проще говоря - 
в "железо". Сейчас объясню почему. 
Разработчики защит уже давно при- 
метили, что уровень исследования ис- 
полняемых кодов защищенных прог- 
рамм страшно возрос (его неуклон- 
ный рост начался еще во времена на- 
писания первых DOS-Bupycos и крэ- 
ков) и невозможно дать гарантий на 
то, что взломщик не сможет пол- 
ностью изучить код защиты. Полное 
исследование проведено, исходный 
код программы сфактически имеется 
перед глазами - крэка при таких делах 
не напишет только ангел небесный. 
Разработчики защит изощрялись и 
порождали на свет все новые и новые 
приемы, призванные помешать 
взломщику: антиотладочные процеду- 
ры, расшифровываемый при запуске 
код и многие другие техники. Но ив 
далеком прошлом, и сейчас на иссле- 
дование кода защиты требуется нам- 
ного меньше времени, чем на написа- 
ние хорошей защиты. 

Почему так? Допустим, обычный 
программист решает написать, как 
ему кажется, "защиту" и встраивает в 
свой код диалоговое окно ввода клю- 
чевой информации, а потом проверя- 
ет валидность введенной информа- 
ции. Большинству таких программис- 
тов среди сотен килобайт исполняе- 
мого кода сложно найти собственную 
ошибку, даже обладая исходниками, 
поэтому им опять-таки только кажет- 
ся, что невозможно найти то самое 
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место, в котором проверяется валид- 
ность ключевой информации: 


{ "Прячем" настоящий пароль, чтобы его не нашли по 
F4 8 far/total/etc } 

Str(123 Keyl); 

Str(691,Key2); 

MyBestPassword:=Keyl+Key2+... { И другой подобный 
код... } 

if MyBestPassword <> UserPassword then ... 


Однако время обнаружения такой 
процедуры ничтожно мало, например 
десять минут. Реверсер установит 
после ввода абстрактного ключа акти- 
вации breakpoint на доступ к нему из 
любого кода и, разумеется, тут же 
увидит использование введенной ин- 
сфрормации и критичный код. Конечно, 
разработчик защиты может пойти 
дальше. Допустим, он попытается 
вырвать основной вид оружия из рук 
реверсера - отладчик 501 се, которым 
тот может выполнить вышеописанные 
действия: 


 И5В-ключи - одни из самых популярных 
в мире 


Несмотря на популярность ИЗВ-уст- 


ройств, go сих пор встречаются и LPT- 
| ключи 


[/ Открываем устройство "NTICE", если это удалось, 
[о отладчик Зо се 
// установлен в системе 
if ( ореп("\\\ААМТСЕ"..) >= 0 ) 
{ 
printf(""\n Unload Softlce | Program aborted !"); 
ExitProcess(...); 
} 


Такой код, будучи размещенным в 
начале программы, прервет ее выпол- 
нение еще до ввода ключа, и ревер- 
сер не сможет выполнить анализ ко- 
да. Но действительно ли не сможет? 
Такую попытку защиты легко отсле- 
дить еще перед запуском исследуе- 
мой программы, установив в отладчи- 
ке слежение за открытием файлов: 


bpx CreateFiled if (*(esp->4)==0x5C2E5C5C). 


Выполнив эту команду, реверсер ус- 
тановил в отладчике 5о се слежение 
(всплытие отладчика по настроенно- 
му событию) за открытием сфайлов, 
имена которых начинаются с "\\.\". 
Скорее всего, первый и единственный 
вызов с таким именем срайла со сто- 
роны защиты и будет происходить в 
коде, который "проверяет" наличие 
отладчика в системе. 

Словом, между разработчиками и 
реверсерами издревле существует 
своего рода гонка вооружений. Нес- 
мотря на переменные успехи то OG- 
ной, то другой стороны, ясно одно: 
при примерно одинаковом интеллек- 
туальном потенциале и терпении у за- 
щиты и реверсера устанавливаются 
приблизительно равные шансы, но 
при неограниченном времени у пос- 
леднего возникает практически 100% 
вероятность вскрытия кода! А это уже 
заставляет серьезно задуматься. К 
тому же разработчик никогда не мо- 
жет быть уверен в TOM, что он не go- 
пустил досадного промаха при проек- 
тировании/реализации защиты, а са- 
мое главное: его код, написанный раз 
и навсегда, в любой момент может 
быть атакован совершенно новыми 
техниками реверсинга/аппаратными 
возможностями процессора или за- 
пуском в той же виртуальной машине. 


Обмануть легендарный Softice He так-то легко 
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Российская компания Aladdin - один из крупнейших разработчиков аппаратных ключей 


Вынося же часть алгоритма в "черный 
ящик" аппаратного ключа, он может 
быть уверен хоть в чем-то, потому что 
исследовать начинку dongle'a намно- 
го сложнее, чем обычный код. Раз так, 
подробнее поговорим об аппаратных 
ключах защиты. 


МАРКЕТИНГ РЕШАЕТ ВСЕ 
Прежде чем приступить к расска- 
зу о внутренностях ключей защиты, 
разрешим вопрос о том, что именно 
подталкивает разработчиков защит к 
их выбору? Основная причина оче- 
видна - простота. У разработчика по- 
является возможность не писать за- 
щиту самостоятельно, не будучи про- 
фессионалом в этой области, а просто 
купить "коробку", которая вроде бы 
несложным образом подключится к 
его программе и защитит это детище. 
За ведущими разработчиками ключей 
стоит специализация в области защи- 
ты и отличная репутация как резуль- 
тат хорошей маркетинговой политики. 
Именно по этим причинам рынок ап- 
паратных ключей защиты расширяет- 
ся не по дням, а по часам. Разработ- 


чикам ключей относительно неслож- 
но привести "весомые" доказатель- 
ства неуязвимости своих товаров, так 
как полный анализ всего комплекса 
защиты, как правило, занимает GO- 
вольно значительное время и вряд ли 
будет выполнен в момент презента- 
ций. Декларируемые разработчиком 
свойства ключа (функциональность) 
даже в плане ознакомления требуют 
от программиста значительного вре- 


‚ Многие разработчики софта также "ве- 
‚ дутся" на "коробочные" решения 


Эволюция аппаратных ключей eToken 


Весьма популярный ключ Sentinel от 
Rainbow Technologies 


мени, что уж говорить о серьезном 
криптоанализе сфункций ключа. Про- 
изводители ключей предлагают не 
просто "железку" - они предлагают 
полный комплект разработчика защи- 
ты, включающий в себя удобный ин- 
тегратор защиты с защищаемой прог- 
раммой, хорошо документированное 
API защиты, техподдержку и т.п. При 
таких условиях сделать выбор в их 
пользу не так уж и трудно. Тем не ме- 
нее, и здесь не все так просто. 


$30 - И ВСЯ ЗАЩИТА! 

Перейдем к построению общей 
схемы алгоритмов и компонент защи- 
щенного программного продукта. Нач- 
нем с защищаемого кода. Пусть име- 
ется "нетронутый" защитой build 
release разработчика. Назовем его 
ргод.ехе. Его необходимо защитить 
аппаратным ключом таким образом, 
чтобы было очень сложно (а лучше 
невозможно) использовать функцио- 
нальность ргод.ехе в отсутствие клю- 


По мнению разработчиков dongle'os, 
О5В-ключ должен присутствовать в 
связке с ключами от квартиры, машины... 
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ния Rainbow Technologies, вошла в состав SafeNet 
ча. Простые подпрограммы проверки 
наличия ключа сведут на нет все дос- 
тоинства аппаратной защиты: при их 
обнаружении и удалении они оставят 
реверсеру ргод.ехе в первозданном 
незащищенном виде, поэтому интег- 
рация проверок с телом ргод.ехе 
должна быть максимальной. Напри- 
мер, самое простое - число проверок 
должно стремиться к максимально 
возможному, насколько это позволя- 
ет быстродействие обмена данными с 
ключом из ргод.ехе, но разработчики 
обычно не знают меры в этом и, по 
всей вероятности, используют прос- 
тую формулу "Время торможения 
программы из-за присутствия аппа- 
ратной защиты = 2 х максимальное 
время терпения пользователя" ;-). 
Идем дальше. Максимальным коли- 
чеством проверок дело обычно не ог- 
раничивается, хотя история взломов 
программ, защищенных dongle'amu, 
знает множество примеров того, как 


пользователю 
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Известная компания StarForce имеет свой взгляд Ha аппа- 


ратную защиту 
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разработчик выполнил... Две-три три- 
виальные проверки наличия ключа, 
которые по сложности взлома в мири- 
ады раз уступают качественно спро- 
ектированной защите на основе 
обычного кода активации. Здесь ис- 
пользуются техники, присущие вся- 
ким программам, в которых необходи- 
мо скрывать код/алгоритмы - от троя- 
нов и вирусов до хитрых математичес- 
ких библиотек. Такие техники изна- 
чально совершенствовались вирусо- 
писателями, например в nonumopcp- 
ных вирусах. Но в наше время разра- 
ботчики защит вполне уверенно ис- 
пользуют их, нисколько не заботясь 
о чужом (пусть и незарегистрирован- 
ном) копирайте. Итак, в код ргод.ехе 
максимально плотно внедряются ал- 
горитмы проверки наличия и валид- 
ности ключа. Необходимо отметить 
криптографические методы привяз- 
ки ключа к ргод.ехе. Допустим, ключ 
может аппаратно реализовывать 
функцию: 


typedef struct { 
} tSecrectKey: 


tSecrectkey Get_SecretChiperkeyFromDongle( void ) { 


Получив в программе по запросу к 
ключу SecrectKey, программист может 
выполнить шифровку/дешифровку 
собственного кода. Например у 
ргод.ехе есть еще secret.dll, в которой 
находятся важные функции. Разра- 
ботчик выполняет шифрование тела 
secret.dll неким хорошим криптогра- 
фическим алгоритмом: 


Chiper.DLL = Encrypt(secret.dll, Secretkey) 


Далее в своей программе prog.exe 
он предусматривает, что при ее запус- 
ке произойдет расшифровка критич- 
ного кода: 


secret.dll = Decrypt(Chiper.DLL, SecretKey) 


Разумеется, SecretKey He содержит- 
ся внутри ргод.ехе - она может взять 
его только из аппаратного ключа, если 
выбранный алгоритм Encrypt/Decrypt 
стойкий. А его возможно выполнить 
из широкого спектра известных и про- 
веренных алгоритмов - DES, AES, 
BlowFish... или даже рискнуть написать 
свой, особенно если жалко денег на 
лицензионный и криптографически 
вроде бы неуязвимый. 

Это хороший, очень хороший ход 
разработчика защиты, но он стано- 
вится уязвимым при одной плохой ве- 
щи: любой хакер, решившийся на по- 
купку одного ключа (стоимость поряд- 
ка $30), получит из него SecretKey и 
сможет расшифровывать любые 
программные продукты, защищенные 
этим ключом. Поэтому разработчики 
идут на различные хитрости в этом 


направлении: используют случайные 
запросы (данные для расшифровки 
выбираются случайным образом из 
достаточно большого списка, но при 
этом реверсер может исследовать код 
программы и найти весь список); зап- 
росы, сдвинутые во времени (допус- 
тим, в каждом следующем месяце 
программа обновляет данные для рас- 
шифровки и вроде бы рабочий крэк 
перестает работать); шифрование 
вводимых данных (допустим, шифро- 
вание записей базы данных или пере- 
дача шифровального ключа SQL-cep- 
веру, поддерживающему защиту дан- 
ных) и т.п. Словом, здесь используют- 
ся все те же техники, которые можно 
встретить в "обычных" защитах или 
же вирусах. Однако следует отметить 
тот факт, что разработчики защит на 
основе аппаратных ключей отличают- 
ся особой паранойей в этой области: 
фактически их код стремится вклю- 
чить в себя максимальное число та- 
ких "сришек", благо изег-код (код при- 
ложения win32, например) не ограни- 
чен по времени выполнения, в отли- 
чие от критичного кода драйвера, и, 
пока защита расшифрует свое тело 
раз пять-десять, пользователь может 
спокойно посидеть в интернете и т.п. 
По некоторым данным, аналогичные 
разработки "параноидальных" защит- 
ников для *п/х-систем содержат ... су- 
щественно меньше таких приемов, и 
некоторые реверсеры вполне успеш- 
но сокращают время анализа защиты 
просто просматривая примеры реали- 
зации для этих систем. 


НА$ЗР-КЛЮЧ 

ш Перейдем к следующему критич- 
ному участку защиты - обмену данны- 
ми между ргод.ехе и драйвером защи- 
ты driver.sys. Почему обмен данными 
не может быть выполнен напрямую с 
ключом из ргод.ехе? По многим при- 
чинам, например по такой: времена 
DOS давно прошли, и выполнять ма- 
шинные команды для общения с уст- 
ройствами (ins/outs) из кода уровня 
приложения просто невозможно. К 
тому же в более-менее серьезной 
операционной системе весь обмен с 
внешними устройствами реализуется 
только в драйверах (уровни абстрак- 
ции), и она не только запрещает обра- 
щение к устройствам из изег-кода 
(МТ-системы), но и часто предоставля- 
ет весьма удобный механизм перехва- 
та таких обращений из изег-кода (9х- 
системы), что может существенно об- 
легчить работу реверсера. 

Обмен данными между ргод.ехе и 
driver.sys также важно защищать OT 
перехвата и исследования. Почему? 
Потому что если, например, число 
проверок наличия ключа в ргод.ехе 
1000 штук, но все они реализуют об- 
мен с ключом одинаковым способом, 
например через стандартный меха- 
низм из Win API DeviceloControl, то го- 
раздо легче перехватить такой един- 
ственный канал обмена вместо выре- 


ПРИМЕР СЕКРЕТНОЙ ФУНКЦИИ 


зания 1000 разбросанных по ргод.ехе 
подпрограмм проверки. Здесь защита 
наиболее уязвима (от перехвата об- 
мена данными с ключом), но здесь же 
реверсер начинает отступать от "иде- 
ального взлома", заключающегося в 
полной очистке кода ргод.ехе от вся- 
кого присутствия защиты в нем. 
Разработчики защиты прекрасно ос- 
ведомлены о свойствах канала 


DeviceloControl, но продолжают ис- 
пользовать его по ряду причин: тех- 
ника перехвата АР! все еще никак не 
переедет из учебника хакера за вто- 
рой класс в букварь, и нормально 
построенное шифрование на основе 
данных ключа некритично к прослу- 
шиванию (советую почитать про 
криптографические протоколы, стой- 
кие к "атаке посередине"). Такой об- 


мен может на некоторое время отв- 
лечь реверсера от неких дополни- 
тельных скрытых каналов обмена. Ка- 
кие же дополнительные каналы обме- 
на может открыть защита для обще- 
ния со своим драйвером? 

Рассмотрим один из самых распрост- 
раненных аппаратных ключей - HASP 
(Hardware Against Software Piracy). 3a- 
щитный комплекс (его обычно назы- 
вают "конверт") включает в себя, по- 
мимо защищенного ргод.ехе и нес- 
кольких драйверов защиты 
driver1,2..sys и ключа HASP, еще и 90- 
полнительный канал обмена через 
исключение UD #6 - Undefined 
Operation. Это означает, что в коде 
ргод.ехе защита размещает особым 
образом оформленные команды, ко- 
торые вызывают в процессоре исклю- 
чение недопустимой операции (про- 
цессор, работающий в защищенном 
режиме, способен реализовывать так 
называемые уровни защиты и при вы- 
полнении некорректных инструкций в 
менее привилегированном коде (User- 
level) немедленно передавать управ- 
ление в более привилегированный 
(ядро OS). Таким образом, в опреде- 
ленный момент управление в ргод.ехе 
будет сознательно передано на такие 
команды, процессор передаст управ- 
ление в ядро системы, но не просто 
системному менеджеру (в этом случае 
не произойдет ничего интересного - 
программа просто будет принудитель- 
но завершена системой с сообщением 
"Программа выполнила..."), а специ- 
ально подстроившемуся под это драй- 
веру защиты: в момент своей инстал- 
ляции он заранее документированны- 
ми или не очень способами подгото- 
вит систему так, что он будет первым, 
то есть до менеджера системы, обра- 
батывать такое исключение. Он (драй- 
вер защиты) может позволить себе 
это, поскольку в МТ-системах драйве- 
ры имеют все привилегии, в том числе 
и такую вот возможность обрабаты- 
вать все проблемные ситуации в сис- 
теме. Фактически драйвер защиты ра- 
вен в правах с ядром системы и мо- 
жет использовать в своих целях всю 
функциональность процессора. Нуж- 
но заметить, что инструкция UD ис- 
пользовалась таким вот "нехорошим" 
способом не только этой защитой, но 
и ... собственно разработчиками из 
М5. Такой канал используется для 
прямого вызова ядра в МТ, ав 98-ой 
он приведет к обычному сообщению 
"Программа выполнила...". 

На таком канале строится что-то 
вроде собственного АР!-ключа. Это 
достигается тем, что команда UD спе- 
циальным образом оформляется для 
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того, чтобы обработчик исключения 
внутри драйвера мог отличить "свой" 
код от обычных сбоев, возможно, в 
чужих программах. Это может быть 
сделано, например, следующим спо- 
собом (почти оригинальная цитата): 


ov еах, 400000078 ; Номер функции АР! заносится в 
; регистр eax 
ov edi,offset ВАТА РОВ КЕУ; Адрес данных 
‚ для передачи в драйвер 


UD ; Инструкция, вызывающая исключение - 
; см. документацию opcodes Intel 


‘DEADBEEFBABY' 
ext: 


Обработчик исключения в драйвере 
проверит наличие тестовой строки 
после команды UD и значения регист- 
ров. Если он признает исключение 
"своим", он обработает его соответ- 
ственно: например, запишет данные 
из ключа по указателю в edi и пере- 
даст управление на метку Next. 

Таким образом, мы рассмотрели 
один из возможных каналов обмена 
между защищенным приложением и 
драйвером защиты, работающим на 
уровне ядра. Их реализация может 
быть и иной, но, по крайней мере, при 
анализе следует проверять "свобосд- 
ные" исключения, которые обычно 
мало используются системой: это ус- 
таревшая команда bound (int 5) и не- 
которые другие. Следует немного оз- 
накомиться с процессором Intel в за- 
щищенном режиме и в целом Npegc- 
тавлять, какие возможности могут 
быть у защиты для открытия каналов 
общения с драйвером. Напоследок 
брошу еще один камешек в огород 
разработчиков такой защиты. Совсем 
не удивительно, что процессор тратит 
длительное время на обработку иск- 
лючений, а данная защита использу- 
ет... тысячи вызовов такого типа. Поэ- 
тому обращаюсь к разработчикам и 
говорю: "Не думайте, что Ваши прог- 
раммы просто плохо написаны или да- 
же что они очень умные - просто дай- 
те защите немного потренироваться". 
Однако стоит отметить, что для следу- 
ющей версии ключа - HASP4 - разра- 
ботчики отказались от этой "замеча- 
тельной" техники и остановились на 
"обычном" DeviceloControl. 


ДРАЙВЕР НЕ СПРЯЧЕШЬ 

ш Перейдем на следующий уровень 
комплекса защиты и рассмотрим, что 
происходит в драйвере защиты. Для 
начала необходимо определить их на- 
личие. Наверное, из стыда защитни- 
кам хотелось бы скрыть от пользова- 
теля наличие драйвера, но система им 
этого особо не позволяет, поэтому ме- 
ню "Установка драйвера защиты" 
действительно означает то, что в нем 
указано. Список драйверов можно 
посмотреть в стандартных настройках 
Win, а детально рассмотреть его, нап- 
ример, при помощи команды "driver 
«имя_драйвера>" в Зо се. 
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Драйвер выполняет не только 
функции передачи данных (запросов) 
из приложения и ответов ключа при- 
ложению (транспорт), но и часто со- 
держит в себе часть дфункциональ- 
ности, предоставляемой ключом. Так 
называемые "АР! ключа" часто разби- 
ваются на две части: обертка реали- 
зована внутри драйвера, а нижние 
функции выполняет сам ключ. Для 
примера опишу следующую ситуа- 
цию. Пусть ключ способен выполнять 
шифрование четырехбайтных слов: 


void Key _EncryptData(DWORD *EntryData) 
{ 


“EntryData= " 
} 


Следовательно, ключ может шифро- 
вать четырехбайтные слова неким 
своим секретным алгоритмом, детали 
которого или же ключи шифрования 
которого скрыты внутри его микрос- 
хем. Однако драйвер защиты и описа- 
ние АР! для разработчика содержит 
обобщенную функцию: 


void Driver EncryptData(void 
“EntryDataAboveOrEqualThan4Bytes, DWORD DataLen) 
{ 


memepy(EntryDataAboveOrEqualThan4Bytes, si 
Datalen); 
} 


Видно, что функция 
Driver_EncryptData может выполнять 
шифрование массива байт, длина ко- 
торого может превышать четыре бай- 
та. Это может быть сделано по нес- 
кольким соображениям: разработчику 
не хватает шифрования двойных 
слов; функция ключа 
Кеу_Епсгур аа недостаточно крип- 
тоустойчива, и драйвер пытается уси- 
лить мощность защиты; проектиров- 
щик защиты решил укрепить бастио- 
ны на пути к оригинальной функцио- 
нальности ключа и некоторым другим. 

Также драйвер обычно пытается 
всеми доступными ему способами 
скрыть все свои алгоритмы, а в осо- 
бенности - нижние процедуры типа 
Driver_EncryptData, содержащие внут- 
ренние криптографические алгорит- 
мы и сам обмен с ключом. Обмен с 
ключом может быть реализован не- 
посредственно в драйвере (например 
-РТ-реализация ключа) или же обыч- 
ными системными драйверами (в слу- 
чае с УЗВ-вариантом работать с клю- 
чом напрямую через порты ввода-вы- 
вода и управлять ОМА было бы край- 
не нерационально: пришлось бы раз- 
мещать внутри драйвера защиты 
функциональность, достаточную для 
совместимости с различными специ- 
фикациями У$В-шины и т.п.). 
Собственно, обмен напрямую с LPT 
возможен только лишь потому, что он 
уже полностью стабилен и прост в ре- 
ализации, но "не на бумаге" все ока- 


залось сложнее: ключ был спроекти- 
рован как "прозрачный" для обмена с 
принтером, тем не менее были случаи 
сбоев в работе принтера, разделяю- 
щего этот ресурс. 

Защита драйвера также может но- 
сить "параноидальный" характер, но 
при этом обладающий своими особен- 
ностями: акцент в ней сделан на за- 
щиту не от отладки, а от дизассембли- 
рования (те вытаскивания критичных 
алгоритмов), и, в случае реализации 
обмена с ключом непосредственно в 
драйвере, защищается обмен: это 
скрытие от перехвата команд in/out. 

Рассмотрим подробнее эти два ас- 
пекта защиты. В защите от дизассемб- 
лирования может применяться так на- 
зываемая техника "обсрускации". Ис- 
ходный код драйвера, написанный, 
допустим, на С, транслируется в ассем- 
блерный код: 


void Driver EncryptData(void 
“EntryDataAboveOrEqualThan4Bytes, DWORD DataLen) 
{ 


KeyS 
} 
//Mocne трансляции в ассемблер: 

; KeyStruct->Field7= MAG_CONST_FOR_FIELD?; 
mov dword ptr [ebx].Field?, OxABCDEFT7; 


ruct->Field7= MAG_CONST FOR FIELD7; 


Далее ассемблерный код подается 
на вход некоей утилите, которая вы- 
полняет многократное (с точки зрения 
машинной реализации) усложнение 
кода на ассемблере: 


[/ После "обфускатора": 

~ KeyStruct->Field7= MAG_CONST FOR FIELDT; // СИ 

: mov dword ptr [ebx].Field7, OxABCDEFTT; // ASM first 
variant 
push constl 
push eax 
moveax,const2 
jmp@Labell 


@Labelt: 
xor[esp+8],eax 
push ebx 
movebx,const3 
jmp@Label2 


@Label2: 
subfesp+0Ch],ebx 
popebx 
popeax 
jmp@Label3 


Labels 
popdword ptr Cebx].Field? 


В результате в none KeyStruct- 
>Field7 попадает значение 
(соп$И^соп${2)-соп${3, причем все 
константы подобраны таким образом, 
что в результате (consti*const2)- 
const3 == MAG_CONST_FOR_FIELD7. 
Понятно, что такой код читать намно- 
го сложнее, чем одну ассемблерную 
команду. Данная техника крайне мно- 
гообразна: например, критичные поля 
могут разбиваться на части, за ними 
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следует множество команд типа 
pushfd/popfd или xchg ebp,ebp, ничего 
полезного не делающих, однако вы- 
полнение алгоритма от этого не изме- 
няется. 


ТОНКОСТИ КУХНИ 

m Теперь о защите от перехвата об- 
мена с ключом на самом нижнем 
уровне. Если в драйвере используют- 
ся команды in/out, они охраняются от 
перехвата всеми возможными спосо- 
бами. Почему? Если реверсер может 
эмулировать ответы ключа или прос- 
то запомнить их на уровне in/out-Ko- 
MaHG, то, перехватив работу защиты с 
портами, он сможет удобным для себя 
способом разместить свой эмулирую- 
щий код сразу после драйвера защи- 
ты перед отсутствующим ключом. Пе- 
рехват in/out в МТ-системах на уровне 
ядра, то есть при котором перехваты- 
вающий и перехватываемый код на- 
ходятся в равном положении, возмо- 
жен только (это, скорее, тема отдель- 
ного разговора) через регистры от- 
ладки ОКх. Если бы драйвер защиты 
находился на меньшем уровне приви 
легий или OS Windows использовала 
бы механизм вложенных задач 
(Nested Task), то было бы возможно 
также использовать битовую карту 
ввода-вывода - permission i/o access 
map. Защитить код от мониторинга 
портов ввода-вывода через регистры 
DRx в этом случае возможно только 
сбросом бита DE в регистре СКА про- 
цессора, что может с успехом приме- 
нить защита. Сброс же регистров от- 
ладки DRx, нередко используемый в 
защитах, имеет сратальный недоста- 
ток: доступ к этим регистрам также мо- 
жет быть перехвачен через те же ре- 
гистры DRx, и код перехватчика пол- 
ностью прозрачен для защиты. А не- 
достаток этого способа эмуляции (он 
же - преимущество для защиты) сос- 
тоит в необходимости для такого эму- 
лятора разделять общие ресурсы с 
отладчиком - прерывание intl, которое 
может сильно затруднить отладку 
эмулятора или его использование. 


ОСОБЕННОСТИ РЕАЛИЗАЦИИ 
КЛЮЧЕЙ 

и Рассмотрим детальнее сами клю- 
чи и функциональность, которую они 
могут предоставить разработчику за- 
щиты. Скорее всего, все они имеют 


Пример "обфусканного" кода (модуль hardlock.vxd) 


пароли доступа, необходимые для то- 
го, чтобы реверсер, не зная их, не мог 
получить секретные поля ключа или 
изменить их (пока используется peg- 
ко). В других случаях пароли доступа 
носят чисто факультативный харак- 
тер для идентификации кода защиты 
в ключе и могут даже служить допол- 
нительной информацией gna... полу- 
чения секретных данных ключа (те 
секретные данные ключа = f(pass- 
word)). Последнее, как правило, объ- 
ясняется тем, что устройство ключей 
не может быть очень сложным (пока, 
в дальнейшем их функциональность 
может быть существенно доработа- 
на), с другой стороны, ключи одной 
серии должны поддерживать различ- 
ные программные продукты. Как пра- 
вило, ключ может содержать память 
(-100-2000 байт), доступную как для 
чтения, так и для записи. Чтение та- 
кой памяти может дать защите воз- 
можность получения неких уникаль- 
ных идентификаторов для шифрова- 
ния или их простой проверки. Запись 
в память и последующая проверка 
правильности записи может расши- 
рить возможности защиты: например, 
при выключении питания компьютера 
эмулятор должен уметь сохранять та- 
кие данные на диске, иначе эмуляция 
будет неполной. Однако такие сфунк- 
ции сравнительно легко эмулируются: 
реверсер аккуратно выясняет специ- 
фикацию функций чтения-записи, по- 
Лучает все возможные значения па- 
мяти ключа и запоминает их в эмуля- 
торе для совершения корректных таб- 
личных ответов на запросы защиты. 

Существуют также такие специои- 
ческие функции ключа, как проверка 
статуса (~IsKeyHere) и таймер ключа. 
Обычно они идут первыми в снятых 
логах. Защита проверяет работу тай- 
мера ключа, которую сложно повто- 
рить в эмуляторе и т.п. Однако стерж- 
нем многих ключей является некая 
"секретная функция", каких всего од- 
на-две из всего набора сфункций клю- 
ча (для мощных ключей порядка де- 
CATKOB). 

Общий вид секретной сфункции мо- 
жет быть записан так: 


OutData Key_TransData(? *EntryData) 
{ 


Функция Key_TransData выполняет 
секретное преобразование некоторо- 
го количества EntryData->OutData. Что 
означает "секретное"? Реверсер мо- 
жет добраться до самого нижнего 
уровня обмена с ключом, но увидит 
только работу этой функции. Вся ее 
логика зашита в ключе, алгоритм счи- 
тается абсолютно не известным с точ- 
ностью gO анализа прошивки. Пищей 
для криптоанализа является неогра- 
ниченное количество запросов-отве- 
тов (EntryData, Оша а), его методы - 
все методы криптоанализа и поиски 
"случайно оставленных" элементов 
срункции Key_TransData в... коде 3a- 
щиты. Да, это совершенно реальный 
случай. Один из ключей был "сломан" 
именно так: внутри одного из драйве- 
ров защиты находился особо не прик- 
рытый код Key_TransData... 


ПОЧЕМУ КЛЮЧИ ЛОМАЮТ, 
И ПОЧЕМУ ОНИ ЛОМАЮТСЯ? 

и Все, что идет после этого заголов- 
ка, посвящено скорее социальным, 
чем техническим сторонам вопроса. 
Почему как у нас, так и в других стра- 
нах одни из самых мощных защитных 
комплексов подвергаются постоян- 
ным и даже успешным атакам ревер- 
серов? Не знаю, что движет товари- 
щами Митника, кроме денег, конечно, 
но такая мощная защита использует- 
ся более дорогими и функциональ- 
ными программами. А у нас после 
развала СССР осталось довольно 
много технически грамотных специа- 
листов, причем даже неважно, каким 
образованием они обладали: как раз 
кибернетика (это только мое мне- 
ние!) у нас была развита слабо, но 
пищи для ума нашему забугорному 
брату часто не хватает, даже несмот- 
ря на то, что многие действительно 
мощные реверсеры легко зарабаты- 
вают себе -$1000-3000 в "обычной" 
конторе. Но, как правило, наши рабо- 
тодатели настолько Stupid, что не в 
состоянии использовать потенциал 
гигантов кибернетической мысли, и 
для некоторых из них реверсинг - это 
просто хобби. 

Почему же взлом ключей так успе- 
шен? Здесь, прежде всего, нужно 
упомянуть "плавный" переход от ло- 
мания простых ключей с элементар- 
ными алгоритмамии еще в 90-х к бо- 
лее сложным. Разработчики ключей 
как бы учились вместе с реверсерами 
и заодно породили хорошую "школу" 
анализа различных аспектов програ- 
ммных защит. Также стоит отметить 
соотношение цены ключа к цене 
взлома алгоритма: если ключ прода- 
ется по $20, то защита программы 
стоимостью в $500 с его помощью 
вряд ли гарантирует успех: стоимость 
программы настолько велика, что вы- 
зывает массовый приток усилий ис- 
следователей к этому ключу, но ключ, 
в который вложили $20, скорее всего, 
не может обеспечить стойкость стои- 
мостью $500. SE 
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СВАСК-РЕСУРСЫ, 


ПРОГРАММ 


ОБЗОР САЙТОВ ПО ВЗЛОМУ И ЗАЩИТЕ 


меешь ли ты держать в руках дизассемблер или же не собираешься де- 

лать этого вовсе, неважно. Если ты пользуешься платными программа- 
ми, то наверняка пользовался и таблетками к ним. А о том, где находятся 
архивы этих лекарств, где можно узнать рецепты и биографии докторов, 
пойдет речь в данной статье. 


d 


Ресурсов 
действитель- 
но очень 
много, NO3TO- 


му чур не 


обижаться, если твой люби- 
мый или собственный ре- 
сурс не попал на эти стра- 
ницы. Поскольку crack-pe- 
сурсы - это все сайты, со- 
держание которых имеет 
окрас взлома программ, их 
можно разделить на сайты 
архивов крэков, инструмен- 
тов крэкера, архивов статей 
и журналов по крекингу и 
реверсу, а также сайты все- 
возможных крэкерских 
группировок. Теперь все по 
порядку. Сейчас будет па- 
рад, пожалуй, самых 
посещаемых сайтов Сети. В 
последнее время людям 
нравится объединяться в 
группы. Что ж? Похвально, 
главное - чтобы оно того 
стоило. 


АРХИВ ЛЕКАРСТВ 

Множество людей пи- 
шут крэки, которые разны- 
ми путями доставляются в 
пункты сбора, представляю- 
щие собой удобное храни- 
лище лекарств от платных 
программ. Иногда пугает 
только то, что в таких мес- 
тах вместе с крэками (а 
иногда внаглую вместо них) 
подсовывают то, на что при- 
вык визжать, как резаный 
поросенок, антивирус Кас- 
перского. Совет один: ис- 
кать крэки на официальных 
сайтах людей, выпустивших 
их. В первую очередь, из 
этих архивов хотелось бы 
отметить поисковик крэков, 
просто знаменитейший во 
всем интернете - 

. Его глаза уже 

давно направлены на выда- 
ющиеся архивы таблеток. 
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Из самих же архивов 

нельзя пройти мимо 
. Помимо pop- 

ир'ов и вирусов, Ha сайте 
несколько десятков тысяч 
наименований с удобной 
сортировкой и возмож- 
ностью самостоятельно go- 
бавлять новое средство. 
Далее на пути мы видим 
сайт наших заокеанских 
друзей . Bupy- 
сов тут ничуть не меньше, 
однако, в отличие от прос- 
того упорядоченного спис- 
ка, есть возможность ска- 
чать как все сразу, так и 
удобные базы данных по 


времени. И, наконец, третий 
ключевой сайт (остальные, 
кстати, ты найдешь в разде- 
лах Links и friends) - это 
crackdb.com, на котором 
есть хорошее разделение 
игровых и программных таб- 
леток. Ну, наконец-то ты ре- 
шил перестать бездельни- 
чать и пользоваться чужими 
средствами. И начать писать 
свое, для чего понадобятся 
кое-какие инструменты. 


АРХИВ ИНСТРУМЕНТОВ 
Конечно, ты можешь 

найти все необходимые 

средства на сайтах произ- 


НС 


вы 


astalavista.box.sk - знаменитый поисковик крэков 
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На www.keygen.us есть возможность скачать удобные базы 


данных, отсортированные по времени 


водителей, а также я уверю, 
что любой крэк-портал, как 
и личный/команодный сайт, 
содержит в себе с десяток 
инструментов, но по срав- 
нению с www.exetools.net 
все остальное - цветочки. 
Как ясно по его названию, 
сайт содержит в себе набор 
утилит для работы с ЕХЕ- 
файлами. Туда входят как 
упаковщики с протектора- 
ми, так и распаковщики, от- 
ладчики, дизассемблеры и 
многое другое. Самое заме- 
чательное в сайте - это его 
ЕТР-сервер, где находятся 
последние новинки, приват- 
ные программы и просто то, 
что очень непросто найти в 
Сети. Единственная труд- 
ность - это пароль от ЕТР, 
который сейчас выдается 
за сообщения на форуме. 
Но не все так просто: чтобы 
зарегистрироваться на ‹ро- 
руме, нужно приглашение 
модератора. Вот так вот. Ну 
что делать? Втирайся в go- 
верие. Большие архивы но- 
вого софта для взломщика 
содержат также различные 
сайты из домена cjb.net, и, 
как это ни странно, отлич- 
ная подборка программ для 


разработчика (читай - для 
крэкера :)) находится на 
www.msdn.microsoft.com. Яркий 
тому пример - портал 
WWW.WaSM.ru, где находятся 
не только инструменты, но 
и статьи, да и вообще там 
очень много чего находит- 
ся. Советую посетить всем. 
Инструменты получили - 
дело за инструкцией. 


СВАСК-ПОРТАЛЫ 

m= Пройти мимо wiwww.crack- 
|ар.ги невозможно. Это са- 
мый большой портал, пос- 
вященный исследованию 
защит программ в рунете, 
да и, пожалуй, не на пос- 
леднем месте в мире. В бук- 
вальном смысле слова 
здесь есть все! Более сот- 
ни авторских статей, посвя- 
щенных методам взлома и 
защиты программ, сухая те- 
ория и реальная практика. 
Огромная подборка крэке- 
рского софта, в довесок ко 
всему на сайте можно зака- 
зать Сгаск@®Ь DVD крэкера, 
на котором (я тебя уверяю!) 
найдешь то, о чем мечтал 
всю жизнь (или еще помеч- 
таешь). Cracklab.ru - это 
еще и огромный форум, где 


собираются наряду с но- 
вичками выдающиеся лич- 
ности крэк-сцены, ин- 
тервью с которыми можно 
также прочесть на сайте. 
Множество линков на дру- 
гие ресурсы Сети, которые 
необходимо посетить в пер- 
вую очередь после посе- 
щения Cracklab.ru. Также 
на сайте есть ГАО для но- 
вичков, книги по ассембле- 
ру, справочник по WinAPI и 
многое другое. Другими 
словами, для начинающего 
крэкера этот сайт должен 
стать стартовой страницей 
в браузере. Подобных сай- 
тов действительно много по 
всему интернету, но такой 
только один, и легко убе- 
диться, что это действи- 
тельно крэкерская лабора- 
тория рунета. 

Однако не будем забы- 
вать и о \/\м/\.мазт.ги, на 
котором есть целый раздел 
статей, посвященных взло- 
му, и не забудем прочесть 


"Теоретические основы 
сгаск'инга". 

И конечно же, сайт живо- 
го дизассемблера наших 
дней Криса Касперски - 
www.kpnc.opennet.ru, где он 
выкладывает свои книги, 
выхода которых многие 
ждут с нетерпением. 

Еще советую посетить 
англоязычный сайт П!://510- 
сурого.с]о.пе! - аналог нашего 
Cracklab. 


CRACKTEAMS 

м И переходим к заклю- 
чительной части обзора. 
Итак, посмотрим на суще- 
ствующие в рунете сайты 
крэкерских команд. Думаю, 
это подавляющее больши- 
нство всех ресурсов в Се- 
ти. Почему их нужно было 
выдвинуть под отдельный 
заголовок? Наверное, по- 
тому что именно в этом ти- 
пе ресурсов можно найти 
конкретные релизы каждой 
команды и многое другое. 
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Бегом за основными pecyp- 
сами. 

Сначала определим ко- 
манды, которые занимаются 
только выпуском крэков и 
на сайте которых нет ничего 
другого. Почему же не вос- 
пользоваться поисковиком 
типа Astalavista или 
http://crackspider.nel, а может, 
просто зайти на cracks.am? 
Потому что каждая команда 
упорно стремится поддер- 
живать свой авторитет на 
сцене и не станет занимать- 
ся массовым распростране- 
нием вирусов через свои 
крэки. И вообще, крэк из 
первых рук как-то спокой- 
ства придает. 

Известные всему миру 
таблетки можно найти по 
настоящему адресу 
http://tsrh.crackz.ws. Об этой ко- 
манде пишут многие, она 
известна своей огромной 
производительностью, каж- 
дый день в мир приходит 
несколько новых релизов 
от TSRh. К такой же коман- 
де, выпускающей новые 
крэки пачками, можно от- 
нести www.revenge.crackdb.com, 
которая помимо простых 
таблеток каждый месяц вы- 
пускает удобно представ- 
ленную БД нескольких со- 
тен серийных номеров. 

WWW.XtIN.KM.fU = сайт, посвя- 
щенный исследованию про- 
текторов и не только. Тут 
много интересного - от ста- 
тей элиты русской крэк-сце- 
ны (да простят меня они, но 
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я назову их: GLHOM, HEX, 
(c)Dragon, MozgC и осталь- 
ных) QO различных 
Crackmes - программ для 
самопроверки во взломе. 

Если рассматривать сайты 
дедов реверса, нельзя 
пройти мимо ww.Uinc. ku. На 
самом сайте довольно мно- 
го статей, посвященных ин- 
формационной безопаснос- 
ти в целом. Тут можно найти 
статьи и программы МЕОх'а, 
автора широко известной 
утилиты PETools, а также 
почитать статьи такой исто- 
рической личности, как 
Dr.Golova. 

Если брать современные 
команды, которые кроме 
простых релизов также вы- 
пускают многочисленные 
утилиты, плагины к утили- 
там и T.g., то не забывай 
сайты ул п З.пет, 
www.DotFix.net от СРСН - авто- 
ра множества статей и тулз, 
посвященных защите и 
взлому программ, написан- 
ных Ha Visual Basic. 

И напоследок можно заг- 
лянуть на AHTeam.org - 
сайт команды Alien Hack, 
где есть небольшое, но ин- 
тересное собрание их прог- 
рамм: начинай от 
МЕОтакег'ов и заканчивай 
различного рода анпакера- 
ми. И о статьях по взлому 
тоже нельзя забыть. 


ПОСЛЕСЛОВИЕ 
m Сайтов, посвященных 
взлому, действительно 


очень много. Нам бы не хва- 
тило журналов, чтобы прос- 
то перечислить все ресур- 
сы Сети, где хоть каким-ни- 
будь краешком затрагива- 
ется тема защиты и взлома 
программ. Я постарался 
привести список наиболее 
значимых и выдающихся 
ресурсов этой тематики. 
Какой сайт станет твоим 


вторым домом, решать те- 
бе. Может быть, решишь 
создать свой проект, ая бу- 
gy только рад. Так или ина- 
че, со временем, познавая 


крэкинг, ты будешь захо- 
дить на такие ресурсы 
только с целью приятного 
времяпрепровождения или 
чтобы добавить свою 
статью/релиз/утилиту. Так 
оно и будет. Идеальной за- 
щиты не существует: все, 
что создано человеком, 
можно сломать. Не забывай 
посещать ум. хакер.ги, на ко- 
тором, кстати говоря, тоже 
можно найти некоторые дос- 
таточно добротные вещи по 
сегодняшней теме. 
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КРЭКЕРЫ VS АВТОРЫ ЗАЩИТ) 


Андрей Каролик (andrusha@real.xakep.ru 


КРЭКЕРЫ rf 
VS АВТОРЫ ЗАЩИ' 


XS: Как вы относитесь 
друг к другу? Твое личное 
отношение к коллегам по 
цеху? 


Крис Касперски aka 
мыщьх aka nezumi: Отно- 
шение сложное. Многие 
разработчики защит очень 
нервно реагируют на слово 
"хакер" или "крэкер" и ве- 
дут себя достаточно агрес- 
сивно, отказываясь об- 
щаться с нами. И это при- 
том, что добрая половина 
"защитников" имеет весь- 
ма буйное хакерское 
прошлое. 


Харон, талантливый чело- 
век, имеющий феноме- 
нальную работоспособ- 
ность и гигантский опыт 
работы с железом и соф- 
том: Строго говоря, хакеры 
взломом не занимаются :). 
Эта "расплывчатость тер- 
минологии" возникла, по- 
моему, по двум причинам: 
исторический "поиск тер- 
мина" при переводах и то, 
что для взлома более или 
менее серьезной защиты 
действительно нужно 
иметь квалификацию хаке- 
ра. Но называть крэкеров 
хакерами - это примерно то 
же, что называть хирургов 
палачами ;). 


XS: Кого ты мог бы выде- 
лить на сцене и за какие 
достижения? 


мыщьх; Есть такая пого- 
ворка: "Если приятели на- 
зывают тебя хакером, знай, 
что ты ламер". Ибо настоя- 
щий хакер сидит в тени, 
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МНЕНИЯ СПЕЦИАЛИСТОВ 


притаившись тише травы, 
ниже радаров. Поскольку 
"хакеров в законе" пока 
что не наблюдается, прихо- 
дится придерживаться 
строгой конспирации и 
действовать из подполья, 
поэтому никаких имен 
здесь не будет. 


Харон: Из общеизвестных 
продуктов выделять можно 
только в отрицательном 
смысле. Например, всем 
(интересующимся этой об- 
ластью) известный flexim 
очень сильно облегчил 
жизнь взломщиков :). Нет, 
он, в принципе, позволяет 
строить почти терпимые за- 
щиты, но это лишь одна из 
его возможностей, причем 
крайне неудобная для 
enduser'os. А поскольку 
эти самые юзвери не в сос- 
тоянии понять, что все ос- 
тальные его применения 
дают лишь видимость за- 
щиты... Ведь взлом любой 
защиты вида 'chk->jmp' 
сводится к поиску данной 
последовательности. А ког- 
да она унифицирована, 
то... А если еще учесть, что 
у пользователей flexim 
хватает ума прикладывать 
pdb'wiku от Im*.dll :). Таких 
примеров много, но прин- 
цип один: на сегодня в 
ширпотребовских продук- 
тах защитой занимаются, 
как правило, люди, мало 
что в ней понимающие. 


XS: Что же такое "кру- 
тая" защита? 


мыщьх; Защита-голово- 
ломка, над которой можно 
просидеть целую неделю, 
но так ничего и не понять. 
Большинство труднолома- 
емых защит под эту катего- 
рию, кстати говоря, не по- 


Крис Касперски aka мыщьх aka nezumi 


падают. Разработчику ни- 
чего не стоит нашпиго- 
ваться кучей проверок, 
идущих из разных мест, 
или обернуть критический 
код сотней-другой упаков- 
щиков. И хотя взлом зай- 
мет море времени, удо- 
вольствия он доставит нем- 
ного. Это будет нудная, од- 
нообразная работа без те- 
ни творчества вроде мытья 
полов или перекопки ого- 


рода. 


Харон: Крутые бывают 
только яйца :). 


XS: Существует ли вооб- 
ще защита, которую невоз- 
можно взломать? Возмож- 
но ли создать ее? 


мыщьх; Взломать можно 
все, поскольку в крайнем 
случае программу можно 
переписать заново, что на- 
зывается from scratch (с 
чистого листа), однако 
смысла в этом будет 
немного. Если речь идет о 
демонстрационной версии, 
то надежнее всего просто 
ограничить функциональ- 
ные возможности. Напри- 


мер, выбросить модуль, от- 
ветственный за печать. Те- 
оретически хакер может 
реализовать его и самосто- 
ятельно, но практически ни 
у кого мазы нет. 


Харон; Нет. Есть старая 
дефиниция: "Все, что один 
человек сделал, другой 
завсегда сломать сможет" 
(с). Но, безусловно, суще- 
ствуют защиты, ломать ко- 
торые нерентабельно. Тру- 
дозатраты на взлом могут 
существенно превышать 
стоимость (копии) продукта 
(и требовать большего 
времени), и заниматься в 
этом случае взломом будут 
только "пионеры". А сде- 
лать защиту, не взламыва- 
емую на этом уровне, впол- 
не реально. Однако следу- 
ет помнить, что стоимость 
взлома прямо пропорцио- 
нальна стоимости самой 
защиты. Если мне не изме- 
няет склероз, теоретичес- 
кий максимум отношения 
этих стоимостей - около де- 
сяти. Причем это число 
справедливо только для 
специализированных за- 
щит: любая внешняя защи- 


та гарантированно имеет 
отношение намного хуже. 
Если рассматривать аппа- 
ратные защиты, то там это 
соотношение можно увели- 
чить, HO... не качественно. 


XS: Какие отладчики и 
другие программы ты ис- 
пользуешь в работе? Что 
ты используешь и для че- 
го, то есть поподробнее. 


мыщьх: Предпочитаю 
классику. Nog Windows: 
дизассемблер IDA Pro, от- 
ладчик Softice (иногда 
OllyDbg), Пех-редактор 
QVIEW. Nog Linux: дизас- 
семблер опять-таки IDA 
Pro, отладчик gdb и lince 
(неофициальный порт 
Зо се), hex-pegaktop HT- 
edit. Все это хозяйство 
крутится под VMWare, как 
правило, одновременно ра- 
ботает три Softice'a и один 
linice в разных окнах. Кра- 
сота! И никаких проблем с 
перезагрузками основной 
операционной системы. 


Харон: А это вопрос абсо- 
лютно непринципиальный. 
Кто к чему привык, тот тем 
и пользуется. Я, например, 
отладчиком вообще очень 
редко пользуюсь: мне идой 
(ida) найти проще. А если 
пользуюсь, то только кон- 
сольными, но это, повто- 
рюсь, вопрос вкуса. Я люб- 
лю консоль просто потому, 
что глаза меньше устают. 


XS: Имеет ли какое-либо 
значение то, на каком язы- 
ке написана программа? 
Или ломают и защищают 
только на общих принци- 
пах независимо от языка? 


мыщьх; Разница есть. 
Проще всего ломаются 
программы, написанные на 
классическом С и работаю- 
щие через Win32 API. С 
приплюснутым С, из-за 
обилия косвенных вызовов 
виртуальных функций, 
справиться уже сложнее, и 
для эффективного взлома 
отладчик и дизассемблер 
приходится запрягать в Og- 
ну упряжку. Программы, 
написанные на Delphi, 
Builder или Visual С++ с 
МЕС легко ломаются толь- 
ко тогда, когда библиотеч- 
ные функции распознают- 
ся ИДОЙ (а происходит это 
далеко не всегда), еще вы- 
ручает декомпилятор DeDe. 
Сложнее всего ломаются 


программы, скомпилиро- 
ванные в р-код или шитый 
код: Visual Basic, Forth и 
т.д. Особенно если прог- 
раммист не ограничился 
посимвольной сверкой па- 
роля (она выполняется 
библиотечными функция- 
ми, которые легко перехва- 
тить), а реализовал целый 
алгоритм. 


Харон: Защищают-то поч- 
ти независимо, но разница, 
как ни странно, есть. Наи- 
более сложны для взлома 
программы, написанные на 
ммм... "некомпилируемых" 
языках. Скажем, на васике 
или жабе. Проблема, есте- 
ственно, не в том, чтобы 
найти, что ломать (тут осо- 
бой разницы нет), а в том, 
что сделать патч к класс- 
файлу намного более тру- 
доемкое занятие, чем к ка- 
кому-нибудь РЕ'шнику. Но 
и тут есть соображение "в 
утешение крэкерам": серь- 
езных продуктов на подоб- 
ных языках не пишут :). 


XS: Опиши стандартные 
шаги защиты/взлома прог- 
раммы. 


мыщьх; Взлом - geno 
творческое, и общеприня- 
той методики здесь нет. 
Одну и Ty же защиту мож- 
но взломать десятком не- 
зависимых способов, и не- 
возможно предугадать, ка- 
кой путь будет быстрее. 
Вот только одна из воз- 
можных схем. Смотришь, 
упакована ли программа. 
Если упакована, пытаешь- 
ся найти готовый распаков- 
щик. Если же его нет, сни- 
маешь дамп утилитами ти- 
па ProcDUMP/LordPE или 
пишешь распаковщик са- 
мостоятельно. Распакован- 
ный файл загружаешь в 
дизассемблер и просишь 
его сгенерировать МАР- 
файл, содержащий всю 
символьную информацию, 
что существенно упрощает 
отладку. Дальше IDA Рго и 
Зо се будут действовать 
в одной связке. Дизассемб- 
лер ищет перекрестные 
ссылки на "ругательные 


строки", отладчик - перех- 
ватывает обращения к АР!- 
функциям, подозритель- 
ным ячейкам памяти, пор- 
там ввода-вывода и т.д. Все 
вместе они помогают по- 
нять алгоритм работы за- 
щиты и взломать ее. Затем 
либо пишется генератор 
ключей/серийных номеров, 
либо правятся несколько 
байтиков в программе. Не- 
запакованные программы 
правятся прямо в QVIEW, 
для запакованных пишется 
специальный онлайновый 
патчер, меняющий их 

на лету. 


Харон; На этот вопрос я 
могу ответить одном сове- 
том (совет тем, кто защи- 
щает). Если есть стандарт- 
ные шаги, то защитой луч- 
ше не заниматься: все рав- 
но она продержится до 
первого пожелавшего ее 
взломать :). Защита долж- 
на быть не просто интегри- 
рована в продукт - она 
должна разрабатываться 
под конкретный продукт. И 
использовать для нее надо 
все "специфики" продукта. 
Скажем, если приложение 
общается с внешним ми- 
ром, то самое милое дело - 
выкинуть кусочек (хоть 
несколько байтов) защиты 
тоже вовне. Ну, и хорошо 
бы до того, как начинать 
делать защиту, подумать, а 
что, собственно, ты собира- 
ешься защищать? В смыс- 
ле, чего хочется избежать 
за счет этой самой защиты. 
Защита ведь - это далеко 
не всегда "защита от копи- 
рования". 


XS: На каких ошибках ты 
обжигался и что можешь 
посоветовать на основе пе- 
чального опыта? 


мыщьх: Сообщать разра- 
ботчикам об ошибках ;). 
Серьезно. Многие из них 
впадают в сумеречное сос- 
тояние души, граничащее с 
полной прострацией, и под- 
нимают вселенский вопль, 
благодаря которому мы уз- 
наем много новых руга- 
тельных слов. Также ни в 


коем случае, ни при каких 
обстоятельствах никому не 
следует угрожать ни в яв- 
ном, ни в предполагаемом 
виде. Добром это не кон- 
чится! Никогда нельзя go- 
верять ничему написанно- 
му, пока все не проверишь 
сам! Ошибаются даже ав- 
торитеты (например, в моих 
книгах ошибок просто 
толпа). 


Xapou: При защите: уста- 
навливать на продукт цену, 
которая провоцирует 
взлом :). При взломе: начи- 
нать ломать, не заглянув в 
интернет :). 


XS: Какая защита больше 
всего впечатлила за пос- 
леднее время? 


мыщьх; Ulink от Юрия Ха- 
рона ошеломил своей ори- 
гинальностью (ему посвя- 
щено целых две главы в 
"Записках мыщьха"). 
StarForce 3 поразил своей 
навороченностью, которая 
все равно не спасла его от 
взлома :). Другие защиты 
как-то не отложились 
в памяти. 


XS: Что нужно обычному 
человеку, чтобы стать крэ- 
кером или кодером защит? 


мыщьх: Хакер, как и прог- 
раммист (в смысле "инже- 
нер") - это состояние души. 
Оно приходит либо с рож- 
дением, либо вспыхивает и 
подбрасывает тебя, как 
гроза. Кодер и крэкер - это 
ремесло, которому легко 
научиться. Достаточно вы- 
учить английский, поста- 
вить осла и вытянуть пару 
гигабайтов электронных 
книг. Ах да! Еще необходи- 
мо найти время, чтобы их 
прочитать! 


Харон: Учиться, учиться и 
еще раз учиться (с). А если 
детальней, то один общий 
совет действительно мож- 
но дать: не стоит пытаться 
разрабатывать защиты, ес- 
ли нет опыта их взлома. 


Проще всего ломаются программы, написанные 
на классическом С и работающие 


через Win32 API. 
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КРЭКЕРЫ VS АВТОРЫ ЗАЩИТ) 


XS: Имеет ли вообще 
смысл защищать програм- 
мы, если их все равно 
взломают хакеры? 


Автор проекта InsidePro 
(www.InsidePro.com): Ha мой 
взгляд, смысла нет. Мне, 
как программисту, интерес- 
ней сделать свою програм- 
му чуть быстрее, чуть бо- 
лее функциональной, на- 
дежней и удобней для 
пользователя, чем тратить 
время на создание защиты, 
которую все равно взлома- 
ют. А если и не взломают, 
то в момент, когда в интер- 
нет просочится хоть один 
серийный номер или реги- 
страционный ключ, прог- 
рамму смело можно назы- 
вать взломанной, так как 
ее теперь сможет исполь- 
зовать кто угодно. Лично 
мне в подобный момент бу- 
дет ужасно жаль времени, 
потраченного на создание 
защиты :). Я понимаю, что 
можно навесить на прог- 
рамму уже готовую защиту 
типа ASProtect, Armadillo и 
прочих, но здесь есть ряд 
моментов. В Сети уже не- 
мало готовых руководств 
по взлому подобных за- 
щит, и есть спецы, знаю- 
щие нутро таких защит как 
"Отче наш", так что кому 
нужно будет взломать - 
все равно взломают. И 
еще: когда пишешь прог- 
рамму размером в несколь- 


XS: Чему и кому посвя- 
щен твой проект? Хакерам 
или тем, кто пытается за- 
щититься от них? 


Создатель портала иссле- 
дования защиты программ 
www.cracklab.ru, Bad_guy: Mon 
проект посвящен исследо- 
ванию защиты компьютер- 
ных программ, или, попрос- 
ту, крэкингу. Для меня су- 
ществует огромная разни- 
ца между хакером и крэке- 
ром, мой проект именно 
для крэкеров - тем он и от- 
личается от многочислен- 
ных хакерских порталов 
рунета. Проект для тех, кто 
ломает, или для тех, кто за- 
щищает? Мне было бы 
приятно, если бы сайтом 
интересовались и те, и дру- 
гие. Но на данный момент 
разработчиков защит на 
сайте и на форуме не так 
уж много: крэкеров намно- 
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ко десятков килобайт, оп- 
тимизируешь код, пишешь 
куски критичного кода на 
асме, а потом "навешива- 
ешь" на нее протектор ти- 
па Armadillo и видишь, что 
твой файл стал "весить" 
более полумегабайта, то 
становится грустно :). Если 
бы существовали способы 
автоматического создания 
стойких защит и увеличи- 
вающих размер программы 
на 5-15 Кб, я, может быть, и 
воспользовался бы. 


XS: Защищаешь ли ты 
свои программы хотя бы 
минимально - от дураков? 


Автор проекта InsidePro: 
От дураков - да: я упаковы- 
Bato РЕСотрас*'ом :). Ко- 
нечно, можно найти распа- 
ковщик, распаковать ЕХЕ- 
файл, затем начать дизас- 
семблировать. Но челове- 
ка, который начнет этим за- 
ниматься, я бы к дуракам 
уже не причислил. 


XS: Придумывают ли сей- 
час что-то новое в области 
защиты или продолжают 
использовать давно изве- 
стные наработки? 


Автор проекта InsidePro: 
Конечно, придумывают. Но 
и взломщики на месте не 
сидят: уровень их знаний 
также повышается, инстру- 
менты для взлома совер- 
шенствуются и T.g. Я ду- 
маю, взломщики растут 
синхронно с авторами за- 
щит. Короче говоря, 
симбиоз. 


XS: Какие способы защи- 
ты программ сейчас наибо- 
лее стойкие к взлому? 


Автор проекта InsidePro: 
Самые стойкие методы за- 
щиты - аппаратные. Их 
взлом - задача, непосиль- 
ная для подавляющего 
большинства взломщиков, 
так как в этом случае 
взломщик защиты должен 
обладать знаниями не 
только в области взлома 
coq Ta, но и отлично разби- 
раться в радиоэлектрони- 
ке, знать схемотехнику, 
иметь опыт программирова- 
ния микроконтроллеров, 
должен уметь настроить 
осциллограф, уметь рабо- 
тать с паяльником (паяль- 
ной станцией) и т.п. (По-мо- 


ему, большинство аппарат- 
ных защит ломается прог- 
раммно, надо просто знать 
как. - прим. Горлума.) А это 
уже не спец, а профи. Но 
таких мало :). Что касается 
программных методов за- 
щиты софта, для меня есть 
только один критерий: если 
временные (и материаль- 
ные) средства, затрачивае- 
мые на взлом, больше сто- 
имости этой программы, то 
данный способ защиты яв- 
ляется стойким. 


XS: Какой уровень прог- 
раммирования нужен раз- 
работчику защиты или ха- 
керу? На чем удобнее 
программировать 
и почему? 


Автор проекта InsidePro: 
Несомненно, уровень дол- 
жен быть высоким. Для то- 
го чтобы самому написать 
стойкую защиту или же са- 
мому суметь взломать по- 
добную защиту, нужно 
быть спецом. Лучшие за- 
щиты пишутся на ассемб- 
лере или на асме и С. 
Взломщик же просто обя- 
зан знать ассемблер! 


Самые стойкие методы защиты - аппаратные. 
Их взлом - задача, непосильная gna 
большинства взломщиков. 


го больше, хотя это и зако- 
номерно, так как статьи на 
сайте лежат в основном по 
снятию защиты, а не по 
принципам ее построения. 


Х5: К кому ты относишь 
себя? Ты активно занима- 
ешься хаком? Как появи- 
лась идея создать подоб- 
ный проект? Что он дает 
тебе? 


Bad_guy: Крэкерством я 
занимаюсь более четырех 
лет. Все это началось, ког- 
да мне попалась на одном 
из обычных дисков с доку- 
ментами статейка "Как ло- 
мать программы Windows" 
ot ED!ISON [UCF], переве- 
денная на русский (кстати, 
есть она вот тут: .//сгаск- 
lab.ru/art/page2!.php). Вот она 
меня и увлекла. Пару лет я 
занимался крэкерством 
очень активно и с большим 


азартом, тогда у меня не 
было интернета, и научил- 
ся я всему сам по старым 
статьям от Фокса Малдера 
с Пилорамы. Через полтора 
года я устроился на работу 
в некую фирму, где мне по- 
ручили сделать им сайт, 
тогда же я и познакомился 
с интернетом. Делал я им 
сайт на хостинге narod.ru, 
параллельно зарегистри- 
ровал cracklab.narod.ru, где 
планировал разместить 
свои статьи по исследова- 
нию защиты программ - уж 
очень хотелось тоже пи- 
сать. Я написал несколько 
материалов, потом со вре- 
менем познакомился с крэ- 
керами Vallkor и Fess, 
предложил поместить их 
статьи на мой сайт. Они 
согласились, после чего 
cracklab.narod.ru превратился 
из домашней странички в 
что-то более крупное. По- 


том я стал искать другие 
статьи крэкеров, и, в итоге, 
теперь на сайте уже более 
300 статей. В какой-то мо- 
мент родилась идея отк- 
рыть форум: на сегодняш- 
ний день он является са- 
мым популярным разделом 
сайта. Позже хостинг на 
narod.ru перестал устраи- 
вать меня, тогда я решился 
на покупку домена 
www.CRACKLAB.ru и хостинга 
для сайта. Финансово мне с 
этим помогли участники 
форума, за что им огромное 
спасибо. В январе этого го- 
да проект CRACKL@B отме- 
тил свой трехлетний юби- 
лей. Сайт мне приносит мо- 
ральное удовлетворение. 


XS: В чем разница между 
крэкерами и хакерами? 
Или, по сути, одинаковые 
методы, одинаковые подхо- 
ды - только разные цели? 


Возраст крэкара 


Возраст крэкера 


Bad_guy: Принципиаль- 
ной разницы действитель- 
но нет. Однако крэкер спо- 
койно может заниматься 
своей деятельностью не 
имея совершенно никакого 
доступа к компьютерной 
сети. Все, что ему нужно - 
это отладчик, дизассемб- 
лер и диск со свежим соф- 
том. К тому же крэкер, ко- 
торый не публикует свои 
крэки, никому не мешает 
своей деятельностью, ни- 
кого не хочет обидеть, на- 
нести какой-либо ущерб, 
что, в общем, более гуман- 
но, чем взлом в привычном 
для нас понимании. 


XS: Крэкинг - твой стиль 
жизни, хобби, возможность 
обуздать свои амбиции или 
способ заработать? Кто во- 
обще идет в крэкинг? 


Bad_guy: Deno в том, что 
я имею специальность 
"ЭВМ-комплексы системы и 
сети". Вот когда я учился, 
слушал лекции по микро- 
процессорам и ассемблеру, 
меня заинтересовал крэ- 
кинг, я погрузился в него с 
интересом, чтобы более 
глубоко внедриться в глу- 
бины работы компьютер- 
ной системы. А именно 
взлом программ - это инте- 
ресно, ведь вид зеленой 
надписи "Registered" - это 
как золотая медаль чемпи- 
ону, и, думаю, многие крэ- 
керы с этим согласятся. 
Насчет заработка: действи- 
тельно, если участвовать в 
крэкерской команде и вы- 
полнять заказы, то можно 
немного подзаработать, но 
это только на карманные 
расходы студенту. Деньги, 


на самом деле, небольшие. 
В крэкинг же идут в основ- 
ном студенты. Мы на фору- 
ме CRACKL@B однажды 
проводили опрос по воз- 
расту крэкеров, и получа- 
ется, что в основном крэ- 
кингом занимаются люди в 
возрасте от 17-ти до 

25-ти лет. 


XS: Есть ли способ проти- 
востоять крэкерам? От эпи- 
демии есть прививки, от са- 
ранчи - химикаты, а как быть 
с неуемными крэкерами? 


Bad_guy: Принципиаль- 
ных способов противодей- 
ствия два: техническое и 
юридическое. Техническое 
противодействие - это ког- 
да авторы программ услож- 
няют защиту своих прог- 
рамм, применяют разные 
ухищрения, навешивают 
на исполняемый файл раз- 
нообразные протекторы, 
усложняющие взлом. Не- 
которые умельцы, которых, 
наверное, по пальцам пе- 
речесть, пытаются co3ga- 
вать самодельные эффек- 
тивные алгоритмы против 
взлома своей программы. 
Естественно, все эти ухищ- 
рения в некоторой степени 
помогают защитить прог- 
рамму от многих неопытных 
крэкеров, но сложная за- 
щита, наоборот, только 
раззадоривает опытных. 
На данный момент силь- 


нейшей технической защи- 
той является StarForce, ко- 
торой стало модно защи- 
щать компьютерные игры, 
чтобы их нельзя было за- 
пустить без диска. 

Юридический подход - 
это противодействие ско- 
рее распространению крэ- 
ков, чем взлому програм- 
мы. Во-первых, я не раз 
слышал про происки ком- 
пании 1С, которая привле- 
кала людей, распространя- 
ющих взломанные версии 
их программ. Обычно такие 
дела доходили до суда, и 
нарушителям назначали 
условный срок и крупный 
штраф. Во-вторых, была 
такая история: существо- 
вала крэкерская команда 
(меня просили не называть 
никаких имен), мемберы ко- 
торой размещали крэки 
прямо на сайте команды. 

Один из авторов прог- 
рамм, к которой был опуб- 
ликован крэк на сайте ко- 
манды, обратился в органы: 
итогом стал арест сервера, 
на котором находился сайт 
команды, причем владелец 
сервера не имел никакого 
отношения к команде, он 
просто сдавал хостинг в 
аренду. В результате сер- 
вер, находящийся в Амери- 
ке (!), был арестован прямо 
там по заявлению русско- 
го (!) программиста. Арен- 
датор хостинга и участники 
команды не пострадали, 
однако сайт их так больше 
и не появился в Сети. И та- 
ких примеров масса. 


XS: Kak крэкеры выбира- 
ют объекты для атаки? Как 
не стать их жертвой? 


Bad_guy: Единственный 
гарантированный способ 
не стать жертвой крэке- 
ров - не писать программ. 
А вообще крэкеры занима- 
ются в основном популяр- 
ными программами. Поэто- 
му чем более популярна 
программа, тем быстрее по- 
явится для нее крэк, а если 
программа выпущена толь- 
ко на родном языке (не 
английском) или слабо 
раскручена, то, возможно, 
крэкеры даже и не добе- 


рутся до нее никогда. Лич- 
но я всегда ломал только 
те программы, которые мне 
самому были нужны и на 
которые не было под рукой 
готового крэка, однако я 
никогда не выпускал свои 
крэки в Сеть и от моей дея- 
тельности разработчики 
явно не пострадали. Хотя 
как посмотреть... Учитывая 
создание мной 
CRACKL@B... 


XS: Что нужно, чтобы 
стать крэкером? Как ты 
сам постигал крэкинг? 
Сколько потребовалось 
времени и когда ты понял, 
что знаешь достаточно? 
Кстати, что ты считаешь 
достаточным уровнем 
знаний? 


Bad_guy: Чтобы стать 
крэкером, нужно, в первую 
очередь, желание. Но этого 
оказывается мало: нужно 
знать основы ассемблера, 
желательно знать архитек- 
туру процессора, например 
486-го. Мне эти знания 
очень помогли освоиться в 
крэкинге легко и быстро. 
Обязательно стоит прочи- 
тать несколько статей от 
MozgC, ВЁНу. Когда я на- 
чинал, то обходился одним 
лишь отладчиком Softl, ко- 
торый теперь идет в пакете 
DriverStudio, мне его впол- 
не хватало. Потом уже я 
стал разбираться в дизас- 
семблировании. Позже, 
когда пошла мода на ЕХЕ- 
упаковщики и протекторы, 
познакомился и с РЕ- 
инструментами, и форма- 
том РЕ. Когда я два года 
позанимался крэкерством, 
у меня появилась мысль о 
том, что я знаю в крэкинге 
достаточно. А "достаточ- 
ный уровень знаний"... Хм, 
просто возникло такое 
внутреннее убеждение, что 
теперь я при желании смо- 
гу разобраться в защите 
абсолютно любой програм- 
мы. Кстати, о том, как стать 
крэкером и с чего начать, 
меня спрашивают доста- 
точно часто, и поэтому я на 
сайте кратко все расписал 
(http://cracklab.ru/kid.php). 


Единственный гарантированный способ не стать 
жертвой крэкеров - не писать программ. 
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Windows на страже порядка 

Шпионаж за системными событиями 
RingO 

Проникновение в protect storage 
Ошибки клиентских приложений 
Поиск дыр в бинарном коде 
Контент-фильтрация 

Переполнение буфера 

Обход защиты клиентских приложений 
Проход через брандмауэр 
Криптопротоколы 

Уязвимости протоколов ICQ, FTP, SMTP 


Обменники валюты, казино и другие 
меб-сервисы, связанные с интернет- 
валютой. Различные платежные 
системы: WebMoney, e-gold, 
GoldMoney, PayPal и gp. Зарабо- 
ток/процессинг: что и как реализо- 
вать. Как сделать свою пирами- 
ду/банк, как кидают в е-бизнесе. 


"Большой брат следит за тобой". Все 
Взлом с помощью мобильных уст- о жучках. Компьютерный шпионаж. г 
ройств. Bluejacking, bluesnarfing и 7 
взлом Wi-Fi-ceten. Сниферы Wi- bE. 
Fi/Bluetooth. Все о wardriving. Mo- 
_ бильные вирусы и трояны. Security- 
софт под мобильные платформы. 
Фрикинг, безопасность в телекомму- 


никациях. Спам. 


Тайна РСР: есть ли в нем "троян". 
Реализация слежки и 
противостояние ей. 


Давно ли ты читаешь "Хакер Спец"? 
© С первых номеров 

© Около года 

© Несколько последних номеров 
© Первый раз 


Как ты считаешь, изменился ли "Хакер Спец" 
за последнее время? 

© Да, улучшился 

© Да, ухудшился 

© Нет, по-моему, не изменился 


Какой из последних номеров тебе понравился 
больше всего? 

© 05.05(54) - Цифровое видео 

© 06.05(55) - Компьютеры будущего 
© 07.05(56) - Мобильные деньги 

© 08.05(57) - (anti)cracking 


Хотелось бы тебе новых рубрик в ОФФТОПИКе? 
© Да 
© Нет 


Достаточно ли объемна ТЕМА НОМЕРА? 
© Вполне 

© Ее надо увеличить 

© Слишком большая 


Было бы тебе интересно читать новости в Спеце? 
О Да 
© Нет 


Интересна ли тебе СТОРИ? 
О Да 

© Нет 

© А что это? 


Какие компьютерные журналы ты еще читаешь? 
Хакер 

CHIP 

CHIP Special 

Компьютерра 

Upgrade 

Мик ПК 

Upgrade Special 

Другой 


AAA A 


Какой оптический привод в твоем компьютере? 
© CD-ROM/CD-RW 

© Combi CD-RW/DVD-ROM 

© DVD-ROM/DVD-RW 


Предложи тему для очередного номера: 


т Г. 


v3! 
ЗАПОЛНИ АНКЕТУ = On ке 
й, : 

Ср вх a 31 августа 2005 года, 6У9е 
а USB flash drive 

Kingston р 

DataTraveller lee 

Elite Ha 512 мб! 


ФИО Какой у тебя канал в интернет? 
> Выделенка 
© Dial-up 
Где ты живешь? © Нет интернета 


Чем ты пользуешься для общения в Сети? 


Г] E-mail 
Г] Чаты 
E-mail ГСО и другие мессенджеры 
Г] Другое 
2 
Сколько тебе лет? На каком языке ты пишешь? 
> Меньше 17 Г] Assembler 
218-20 С/С++ 
2 2123 Г] Pascal/Delphi 
2 24-27 Г] Basic/VB 
zi sled Г] Perl 
le Г] Другое 
> Больше 33 Г] Я не программер 
Твое семейное положение? С какими платформами у тебя есть опыт 
с Холост работы? 
© Женат ПРС (Windows) 
ИЕ, Г] *nix (Unix, Linux, BSD) 
| ь Г] Macintosh 
© Техническом Г] Palm OS 
© Гуманитарном Г] Роске! PC (Windows CE) 
Я He учусь в вузе Г] EPOC/Symbian 
Связана ли твоя работа с Г] Другое 
2 
1“ ый Какие из перечисленных вещей у тебя 
xs a . 6 ит есть? 
2 7 планирую работать в Г] DVD-nneep 
) Нет 
Е Г] DVD-ROM 
) Я не работаю Г] MP3-nneep 
Твой средний месячный 90х09? Ва НОНО 7 
© Меньше $100 Г] Домашний кинотеатр 
© 900-300 Г] Мобильный телефон 
р 5300-700 Г] КПК (коммуникатор) 
pe Больше $700 Г] Цифровой фотоаппарат 
| Г] Цифровая видеокамера 
Сможешь ли ты сам собрать компьютер? Г] СР5-навигатор 
© Сзакрытыми глазами 
6 fis mune Г] Да, я хочу в фокус-группу! 
© Сомневаюсь 


Заполненную анкету присылай по адресу: 101000, Москва, Главпочтампт, а/я 654, 
Хакер Спец с пометкой «Анкета» или на Vote@real.xakep.ru. 
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СХОЛОДНЫМ СА ) 


Окунев Дмитрий, Шамаев Дм 


С холодным ЕСА 
Тестирование кулеров для 
платсоормы LGA775 


GoTView РС! 7135 


Т\-тюнер умнее телевизора 


Паяльник 
Шнурки ктелу 


LGA 


с холодным > 


test_lab (test_lab@gameland. 


x 


ТЕСТИРОВАНИЕ КУЛЕРОВ ДЛЯ 
ПЛАТФОРМЫ LGA775 


ето ведет себя по отношению 
к пользователям компьюте- 
ров весьма благородно. Пого- 
да позволяет нам проводить 
меньше времени за изрядно 
надоевшей за рабочий год "тачкой" и, соот- 
ветственно, на время отбросить навязчи- 
вые мысли об апгрейде. Но у этого времени 
года есть и оборотная сторона: все та же 
жаркая погода, так благоприятно влияющая 
на нас, к нашим компьютерам совсем не 
дружелюбна. Даже работающие на номи- 
нальной частоте процессоры подчас пасуют 
перед высокой температурой и начинают 
нещадно глючить, что уж говорить об их ра- 


СПИСОК УСТРОЙС 


GlacialTech Igloo 
5050 PWM 


GlacialTech Igloo 
5100 PWM 


GlacialTech Igloo 
5600 Light 


Intel Box Cooler 


IceHammer 
IH3875WV 


CoolerMaster 
Vortex TX 


CoolerMaster 
Hyper 6+ 


XAKEPCHE | 08(57) | 2005 


test_lab выражает благодарность за оборудование, 
предоставленное на тестирование, компаниям 
"БЮРОКРАТ" (тел. (095) 745-5511, www.buro.ru), 
NEVADA (тел. (095) 101-2819, www.nevada.ru), 
ICEHAMMER Electronics Russia (www.icehammer.ru), 
"ПИРИТ" (тел. (095) 785-55-54, www.pirit.ru), 
"Аэртон" (www.airton.com). 


зогнанных до упора собратьях! Но выход из 
досадной ситуации все же есть! Привить 
"камню" иммунитет против жары способна 
достойная система охлаждения, благо ры- 
нок сейчас просто завален решениями на 
любой вкус и кошелек. Чтобы помочь тебе 
сориентироваться во всем этом многообра- 
зии, мы посвятили этот материал исследо- 
ванию нескольких новых и не очень моде- 
лей кулеров. 


ТЕХНОЛОГИИ 
За всю историю систем охлаждения их 

технология в общем изменилась мало и go 
сих пор представляет собой сочетание ра- 
диатора с хорошей теплопроводностью и 
вентилятора. Радиатор тесно контактирует с 
процессором и поглощает исходящее от не- 
го тепло, в то время как вентилятор либо 
обдувает его, либо, наоборот, отводит OT не- 
го горячий воздух. Материал, из которого 
изготавливается радиатор - это, как прави- 
ло, алюминий или медь, причем последняя 
обладает более высокой теплопровод- 
ностью, в то время как алюминий позволяет 
значительно снизить вес устройства. Опи- 
санная технология за время своего сущест- 
вования неоднократно подтвердила свою 
эффективность и, разумеется, отказывать- 
ся от нее никто из производителей не соби- 
рается. Но улучшить ее путем добавления 
различных полезных "фишек" вполне воз- 
можно. Так, очень популярными в Nocneg- 
нее время стали кулеры с измененной cpop- 
мой радиатора. Здесь все ограничивается 
только фантазией и возможностями разра- 
ботчика. К примеру, особую популярность в 
этой области снискала продукция компании 
Zalman, вся линейка которой отличается 
оригинальностью конструкции. Кроме того, 
современные модели систем охлаждения 
часто снабжают датчиками температуры и 
реобасами для регулировки скорости вра- 
щения вентилятора. 

Если изначально конструкция кулера под- 
разумевала горизонтальное расположение 


вентилятора, то сейчас на 
рынке нередко можно 
встретить модели с его 
вертикальным расположе- 
нием. Такие системы ох- 
лаждения работают по 
принципу турбины самоле- 
та: воздух с силой выдува- 
ется не вверх, а вбок от 
охлаждаемой поверхности. 
Это не дает какой-либо 
пользы для охлаждения 
процессора, зато очень хо- 
рошо сказывается на 
близлежащем железе, 
например на видеокарте, 
да и чисто эстетически 
смотрится очень приятно. 

Еще одно новшество, 
нашедшее применение в 
новейших моделях систем 
охлаждения - тепловые 
трубки. Внутри такой 
трубки находится полость 
с жидкостью, которая при 
нагреве закипает и испа- 
ряется. Соответственно, в 
противоположном (более 
холодном) конце трубки 
пар конденсируется, отда- 
вая тем самым накоплен- 
ное тепло. Этот цикл пов- 
торяется бесконечно и 
значительно повышает 
эффективность работы 
кулера. 


НА ЧТО ОБРАТИТЬ 
ВНИМАНИЕ 

Кулер - девайс недоро- 
гой, но возлагающий на 
себя огромную ответствен- 
ность, поэтому и выбирать 
его нужно очень внима- 
тельно, руководствуясь 
сразу несколькими его ха- 


GLACIALTECH 16100 5050 PWM 


Эта модель во многом 

повторяет строение 
боксового кулера Intel, но 
лишь на первый взгляд. OT- 
личия проявляются в 
конструкции радиатора: он 
полностью алюминиевый, в 
отличие от "оригинала". 
Также здесь используется 
собственная система креп- 
ления: на обратной стороне 
материнской платы необхо- 
димо установить специаль- 
ную крестообразную ме- 
таллическую пластину. 
Уже к ней крепится само 
устройство, что позволяет 
избежать прогиба "мамки" 
и сделать конструкцию бо- 
лее устойчивой плюс зна- 


рактеристиками, описан- 
ными нами выше. 
Во-первых, обрати вни- 
мание на материал, из ко- 
торого изготовлена основа 
кулера - радиатор. Если ты 
увлекаешься разгоном 
процессора или же твой 
"камешек" сам по себе ра- 
ботает на высокой частоте, 
то лучше если это будет 
медь. Алюминий в твоем 
случае обеспечит едва 
достаточный уровень ох- 
лаждения, которого в оп- 
ределенных условиях мо- 
жет и не хватить. В край- 
нем случае можно обра- 
тить внимание на модель, 
использующую оба мате- 
риала. Как правило, подоб- 
ные радиаторы либо содер- 
жат металлы в одинаковой 
пропорции, либо же медь 
используется только для 
сердечника, а ребра 
сделаны из алюминия. 
Во-вторых, gO покупки 
ознакомься с характерис- 
тиками вентилятора. Здесь 
все зависит от твоих пот- 
ребностей. Высокая ско- 
рость вращения не только 
обеспечит лучший уро- 
вень охлаждения, но и 
создаст ощутимый фоно- 
вый шум. В то же время 
модель с низкоскоростным 
вентилятором будет ‹функ- 
ционировать практически 
незаметно, правда, и 
справляться со своей ос- 
новной функцией она бу- 
дет хуже. В подобной ситу- 
ации неплохо, если к куле- 
ру прилагается регулятор 
скорости вращения венти- 


Технические характеристики: 


Поддерживаемые разъемы: 
LGA775 


Материал радиатора: 
алюминий 

Скорость, об/мин: 800 +- 300 - 
3800 +-10% 

Уровень шума, GB: 18 - 40 +-10% 
Вес, г: 395 

Размеры радиатора, мм: 
90x90x36 

Размеры вентилятора, MM: 
80х80х27 


Скорость потока, СЕМ: 13,3-63,1 
+-10% 


Разъем для подключения, 
контактов: 4 


Максимальная температура 
при нагрузке, ° С: 76 
Минимальная температура без 
нагрузки, ° С: 52 


лятора. Тогда ты сам смо- 
жешь выбирать нужное 
соотношение эсфрфектив- 
ности и шума. Такие уст- 
ройства выпускаются как 
во внутреннем варианте, 
так и в виде планок, npeg- 
назначенных для установ- 
ки на заднюю панель сис- 
темного блока. Но самый 
удобный тип - это реоба- 
сы, предназначенные gna 
установки в пятидюймо- 
вый отсек корпуса. Эти де- 
вайсы значительно облег- 
чают управление кулером 
и нередко содержат на се- 
бе дополнительные "по- 
лезности" вроде ЖК-экра- 
на с показаниями темпера- 
туры или USB-xa6a. Возмо- 
жен также вариант, при ко- 
тором материнская плата 
умеет динамически изме- 
нять скорость вращения 
вентилятора в зависимос- 
ти от показаний темпера- 
турного датчика. При этом 
с тебя окончательно сни- 
маются все лишние забо- 
ты - система позаботится о 
себе сама. 

Наконец, немаловажная 
составляющая системы ох- 
лаждения - это крепление. 
Конечно, большинство 
пользователей устанавли- 
вают и снимают кулер не- 
часто, но при неудачной 
конструкции эти редкие 
ситуации способны соз- 
дать немало проблем. Если 
кулер крепится к сокету 
при помощи проходящей 
через него скобы, обрати 
внимание на ее качество. 
Она не должна быть очень 


чительно продлевает вре- 
мя установки. Вентилятор 
на девайсе установлен дос- 
таточно мощный. Его ско- 
рость составляет до 3800 
об/мин и при этом может 
свободно регулироваться 
(минимальное значение - 
800 об/мин). Подошва ра- 
диатора уже содержит на 
себе термопасту, так что 
возиться с ней дополни- 
тельно не придется (или же 
наоборот, если ты исклю- 
чительный фанат старого 
доброго AnCun-3 :)). 

Устройство показало дале- 
ко не потрясающий, но и не 
самый плохой результат: 
процессор нагрелся до 74-х 


податливой (иначе плохой 
контакт радиатора с про- 
цессором обеспечен), но и 
слишком тугой тоже быть 
не должна, то есть придет- 
CA запастись немалыми 
силами gna установки. 
Неплохо, если кулер кре- 
пится непосредственно к 
самой материнской плате. 
Это довольно надежно, 
правда, у этого метода 
есть и минус: плату при- 
дется демонтировать. 

К счастью, в последних 
моделях процессоров ре- 
шена одна из наиболее 
злостных проблем преды- 
дущих поколений - воз- 
MOMHOCTb скола ядра при 
установке кулера. Если ты 
обладатель Intel Pentium4 
или процессора AMD Ha 
платформе Socket 
754/939, то твой "камень" 
надежно защищен сталь- 
ной пластиной и тебе не 
придется, скрипя зубами, 
устанавливать строптивый 
кулер, попутно опасаясь 
за сохранность ядра. 


МЕТОДИКА 
ТЕСТИРОВАНИЯ 

Чтобы уровнять усло- 
вия, каждый кулер исполь- 
зовался не со своим тер- 
моинтерфейсом, а совме- 
стно с термопастой "Ал- 
Сил-3". Эффективность 
кулеров измерялась путем 
прогрева процессора прог- 
раммой S&M и замера тем- 
пературы 90 и после теста. 
Для снятия показаний дат- 
чика использовалась 
программа Asus PC Probe. 


градусов. Видимо, здесь 
дал знать о себе алюминие- 
вый радиатор - "медные" 
собратья все же показали 
себя значительно лучше... 
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Модель, опять же, 

сконструирована под 
впечатлением от боксового 
варианта Intel. В самом ge- 
ле, зачем сильно видоизме- 
нять то, что уже не раз про- 
верено "в боях" и обеспе- 
чивает сносную эфофектив- 
ность? Радиатор этой моде- 
ли имеет круглую форму и 
лишь слегка больше в диа- 
метре, чем детище Intel. Ero 
основа- медный цилиндр, 
являющийся заодно и ос- 
нованием кулера, от кото- 
рого, как лучи, ответвляют- 
ся тонкие алюминиевые 
ребра. Модель устанавли- 
вается, опять же, стандарт- 
но, что должно прийтись по 


x 


GLACIALTECH IGLOO 5100 PWM 


Технические характеристики: 


Поддерживаемые разъемы: 
LGA775 


Материал радиатора: медный 
сердечник и алюминиевый 
радиатор 
Скорость, об/мин: 600 +- 300 - 
3600 +-10% 

Уровень шума, gb: 15 - 36,9 +- 
10% 
Вес, г: 530 
Размеры радиатора, мм: 
90x90x36 


Размеры вентилятора, MM: 
80x80x18 


Скорость потока, СЕМ: 8,76- 
51,65 +-10% 
Разъем для подключения, 
контактов: 4 


Максимальная температура 
при нагрузке, ° С: 76 
Минимальная температура без 
нагрузки, ° С: 52 


вкусу большинству поль- 
зователей: ножки просто 
защелкиваются в сокете 
без особых усилий со сто- 
роны устанавливающего. 
Правда, как показал тест, 
такое крепление не оправ- 
дывает себя полностью: 
процессор набрал целых 
76 градусов! Девайсу не 
помог и неслабый вентиля- 
тор на 3600 об/мин (кстати, 
довольно шумный, что неу- 
дивительно), хотя, каза- 
лось бы, при таких характе- 
ристиках устройство прос- 
то обязано проявить себя с 
лучшей стороны! В целом 
данный кулер имеет только 
один очевидный плюс - 


удобство установки. Мо- 
жем порекомендовать его 
только обладателям не 
очень мощных "камней". 


LACIALTECH 16100 5600 LIGHT 


Конструкция этой MO- 

дели очень ориги- 
нальна. Алюминиевая 
пластина, служащая по- 
дошвой кулера, тесно сое- 
динена с алюминиевым же 
радиатором. Но это только 
"нижний этаж" системы. От 
него, в свою очередь, вверх 
отходят медные тепловые 
трубки, на которые надето 
множество алюминиевых 
пластин, также образую- 
щих радиатор - это "верх- 
ний этаж". В верхней части 
вертикально закреплен 
вентилятор, выдувающий 
воздух вбок, что позволяет 
обдувать еще и железо, на- 


Технические характеристики: 


Поддерживаемые разъемы: 
LGA775 

Материал радиатора: 
алюминиевый радиатор с 
медными тепловыми трубками 


Скорость, об/мин: 2400 +-10% 


Уровень шума, дБ: 26 +-10% 
Вес, г: 470 


Размеры, мм: 108х96,5х90 
Скорость потока, СЕМ: 35,04 +- 
10% 

Разъем для подключения, 
контактов: 3 

Максимальная температура 
при нагрузке, ® С: 69 


Минимальная температура без 
нагрузки, ° С: 49 


ходящееся в стороне от 
процессора. Так как назва- 
ние этой модели имеет 
приставку "Light" ("тихий" 
вариант), то и вентилятор 
здесь соответствующий - 
со скоростью вращения 
всего 2400 об/мин. В об- 
щем, устройство довольно 
внушительное, но крот- 
кое :). 
Установка этой модели, как 
и Igloo 5050 PWM, требует 
вынимания материнской 
платы и прикручивания к 
ней специальной пластины, 
но усилия и потраченное 
время полностью оправда- 
ются. Кулер не только go- 


. BEST 


BUY 2005 


вольно качественно стар- 
товал (с температурой 49 
градусов), но и позволил 
процессору разогреться 
всего до 69 градусов! 


INTEL BOX COOLER 


Боксовый кулер - 

стандартная модель, 
поставляемая с процессо- 
рами Intel Pentium4 gna 
платформы LGA775. Предс- 
тавляет собой невысокий 
круглый алюминиевый ра- 
диатор с медной подошвой 
(именно подошвой, а не 
сердечником, как у Gla- 
cialTech Igloo 5100 PWM) и 
водруженным сверху вен- 
тилятором. Сразу отметим 
главный недостаток этого 
вентилятора: его лопасти 
практически не закрыты от 
внешнего воздействия. Ес- 
ли провода внутри корпуса 
плохо закреплены, то впол- 
не смогут попасть в под- 


ь. 


Технические характеристики: 


Поддерживаемые разъемы: 
LGA775 


Материал радиатора: медный 
сердечник и алюминиевый 
радиатор 


Скорость, об/мин: М/А 


Уровень шума, gb: N/A 


Вес, г: 380 
Размеры радиатора, мм: 
90x90x36 


Размеры вентилятора, MM: 
80x80x20 


Скорость потока, CFM: N/A 


Pa3bem gna подключения, 
контактов: 4 


Максимальная температура 
при нагрузке, ° С: 79 
Минимальная температура без 
нагрузки, ° С: 55 


вижную часть, из-за чего 
повредится как сам кулер, 
так и процессор! Девайс 
довольно легко устанавли- 
вается на материнскую 
плату простым защелкива- 
нием в специальных пазах, 
при этом никаких дополни- 
тельных инструментов не 
требуется. Но, как показа- 
ла практика, простота креп- 
ления оборачивается сла- 
бым контактом подошвы и 
ядра процессора. В нашем 
случае температура "кам- 
ня" подскочила аж go 79 
градусов! Это самый "сла- 
бый" результат в нашем 
тесте, так что делаем выво- 
ды: положительные черты 


девайса исчерпаны доступ- 
ностью и простотой уста- 
HOBKU. 
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ICEHAMMER IH3875WV 


Компания IceHammer 

отличилась на рынке 
систем охлаждения в пер- 
вую очередь тем, что не раз- 
рабатывала собственный 
дизайн или не использова- 
ла стандартные наработки, а 
полностью  скопировала 
конструкцию известной мо- 
дели Zalman - CNPS 7700- 
Си. Насколько же удачным 
получился этот "клон"? 
Форма радиатора у этой мо- 
дели достаточно оригиналь- 
на: он выполнен в виде ог- 
ромной чаши, состоящей из 
спрессованных и "распу- 


Технические характеристики: 


Поддерживаемые разъемы: 
LGA775, Socket А, 370, 478, 
754, 939, 940 


Материал радиатора: медь 
Скорость, об/мин: 1200-2200 + 10% 
Уровень шума, дБ: 15-23 +- 10% 
Bec, г: 733 

Размеры, мм: 138x138x66 


Скорость потока, СЕМ: 53,5- 
78,5 


Разъем для подключения, 
контактов: 3 


Максимальная температура 
при нагрузке, ° С: 73 


Минимальная температура без 
нагрузки, ° С: 50 


шенных" на 360 градусов 
медных пластин. Подошва 
кулера - это как раз то мес- 
о, где соединены пластины. 
Из отличий от "прародите- 
ля" можно назвать неболь- 
шие косметические измене- 
ния: уменьшилось количе- 
ство ребер, а сами они были 
изогнуты в форме волны 
(это позволяет снизить по- 
тери тепла благодаря 
уменьшению площади теп- 
лообмена). Приятно, что 
есть возможность установ- 
ки устройства даже на уста- 
ревшую платформу Socket 


А, ав комплекте присутству- 
ет регулятор скорости вра- 
щения вентилятора - это 
преумножает достоинства 
модели перед остальными 
участниками теста. Что go 
температуры, то результат 
был показан неплохой - со 
своими 73 градусами Цель- 
сия кулер занял почетное 
третье место :). 


COOLERMASTER VORTEX TX 


Этот кулер возможно 
установить, навер- 
ное, на все известные плат- 
формы. Внешне эта модель 
выглядит очень симпатич- 
0: сказывается радиатор, 
чем-то похожий на боксо- 
вый от Intel, но выполнен- 
b 
3 
e 
b 


й целиком и полностью 
меди! Конструкцию 90- 
ршает круглый прозрач- 
й вентилятор с перемен- 
ной скоростью вращения 
от 1800 go 3200 об/мин. Ho 
первое впечатление быст- 
ро развеялось при более 


Ss 


B 


Технические характеристики: 


Поддерживаемые разъемы: 
LGA775, Socket А, 370, 478, 754, 
939, 940 


Материал радиатора: медь 
Скорость, об/мин: 1800-3200 
Уровень шума, GB: 26-36 

Вес, г: 440 


Размеры радиатора, мм: 
88х88х35 


Размеры вентилятора, мм: 
92х92х25 

Скорость потока, СЕМ: 28,2-46,8 
Разъем для подключения 
контактов: 4 


Максимальная температура 
при нагрузке, ° С: 77 
Минимальная температура без 
нагрузки, ° С: 54 


пристальном осмотре. Как 
оказалось, расстояния 
между разными ребрами 
радиатора намного отлича- 
ются. Это, конечно, не кри- 
тично, но создается впе- 
чатление, что кулер уже ис- 
пользовали длительное 
время. Вполне может быть, 
что это была проблема эк- 
земпляра, который попал в 
руки к нам. Крепление сис- 
темы - отдельный разго- 
вор: оно требует прикручи- 
вания специальных плас- 
тин на материнскую плату и 


на сам кулер, что довольно 
сложно при установке 
(нужно демонтировать ма- 
теринскую плату). 


COOLERMASTER HYPER 6+ 


Этот кулер - настоя- 

щий "красавчик" по 
сравнению с остальными 
моделями, принявшими 
участие в нашем тесте. Но 
его главное достоинство в 
собрании лучших наработок 
в области охлаждения: по- 
дошва девайса сделана из 
меди и соединена тепловы- 
ми трубками с верхней 
частью, образованной мно- 
жеством алюминиевых ре- 
бер. Они, в свою очередь, 
заключены в кожух, добав- 
ляющий системе пару бал- 
лов в оценке стиля. Вся эта 
красота охлаждается мощ- 


Технические характеристики: 


Поддерживаемые разъемы: 

LGA775, Socket А, 370, 478, 754, 

939, 940 

Материал радиатора: радиатор 

алюминиевый с медным 

основанием и тепловыми 

трубками 

Скорость, об/мин: 1800-3600 
Уровень шума, GB: 20,6-46,4 

Вес, г: 800 

Размеры радиатора, мм: 

135х12х80 

Размеры вентилятора, мм: 

100x100x25 

Скорость потока, CFM: 31,33- 

7214 

Разъем gna подключения, 

контактов: 4 

Максимальная температура 

при нагрузке, ° С: 59 

Минимальная температура без 

нагрузки, ® С: 44 


ным вентилятором с часто- 
той вращения go 3600 
об/мин, ощутимо громким, 
зато он снабжен синими 
светодиодами. Так внутри 
корпуса создастся очень 
приятная атмосфера, что 
наверняка понравится лю- 
бителям моддинга. 

Теперь о главном - о ре 
зультатах тестирования. Ку- 
лер показал себя просто 
превосходно и легко занял 
в нашем тесте первое место, 
даже опередил "серебряно- 
го призера" на 10 градусов! 
Если бы не сложная и gon- 
гая процедура установки (с 


использованием все тех же 
прижимных пластин), де- 
вайс можно было бы наз- 
вать идеальным. С другой 
стороны, можно вполне по- 
жертвовать удобством уста- 
новки ради такого качества. 


вывод 

Как видишь, ни одни из 
протестированных нами 
кулеров нельзя назвать 


идеальным. Какие-то мо- 
дели сдают свои позиции 
в плане удобства установ- 
ки, какие-то обеспечивают 
слабое охлаждение, неко- 


торые слишком громко 
шумят... Это стандартная 
ситуация, и руководство- 
ваться в ней придется не 
только нашими фактами, 
но и своими предпочтени- 
ями, а также суммой, кото- 
рую ты готов потратить на 
подобный девайс. 


За отличный дизайн и вы- 
сокую эффективность 
награду "Наш Выбор" по- 
лучает модель 
CoolerMaster Hyper 6+, He- 
достатки которой ограни- 
чиваются излишне шум- 
ным вентилятором. Если 
же этот параметр тебя сму- 


тил, стоит обратить внима- 
ние на кулер GlacialTech 
Igloo 5600 Light, признан- 
ный нами "Лучшей Покуп- 
кой" за кроткий нрав, лег- 
кость монтажа, и, конечно 
же, тишину при работе. 
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GAR HARDY сотмемРа 755 ) 
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GOTVIEW 
PCI 7135 


ТУ-ТЮНЕР УМНЕЕ ТЕЛЕВИЗОРА 


омпьютер, в 
отличие от 
телевизора, 
предназна- 
чен gna прог- 
раммирова- 
ния, поэтому вполне ра- 
зумно требовать от Т\-тю- 
нера максимума настроек и 
расширенной функцио- 
нальности. Но почему-то 
не все производители уде- 
ляют этому достаточное 
внимание. Мы протестировали 
GoTView РС! 7135 и убедились, что 
из него как раз можно выжать мас- 
су полезных функций. 

Начнем с того, что весь софт на 
русском языке и поддерживает 
программу телепередач, обновляе- 
мую через интернет. Благодаря 
этому всегда можно узнать, какие 
передачи идут по разным каналам 
и сколько времени осталось go 
конца текущей программы. 

Если разные каналы работают с 
разной громкостью, как это Hepeg- 
ко бывает, то можно для каждого 
из них настроить уровень звука от- 
дельно, а также, при необходимос- 
ти, корректировать под каждый ка- 
нал настройки изображения. 

Автоматический поиск каналов 
находит не только основные кана- 
лы, но и паразитные, так что после 
поиска придется несколько почис- 
тить табличку настройки от лишних 
каналов. Кстати, в этой же таблице 
хранятся настройки УКВ- и ЕМ-ра- 
диостанций, так как тюнер позво- 
ляет слушать и радио. GoTView РС! 
7135 поддерживает несколько зву- 
ковых эффектов эмуляции объем- 
ного звучания. Причем звук может 
выводиться как по внешним, так и 
по внутренним коннекторам, плюс 
может передаваться по шине PCI. 

Некоторые каналы, как и на теле- 
визоре, могут приниматься с поме- 
хами в виде полос на экране. Для 
улучшения качества картинки, нап- 
ример для ликвидации "эферекта 
расчески", можно использовать 
специальные фильтры, которые 
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настраи- 
ваются в прог- 
раммном обеспече- 

нии. Правда, они обычно 
дают дополнительную нагруз- 
ку на систему. Однако с помощью 
гибких настроек легко добиться хо- 
рошего качества даже на слабой 
системе. 

В комплекте имеется удобный 
пульт, все кнопки которого можно 
запрограммировать. 1В-датчик 
подключается прямо к Т\/-тюнеру и 
не занимает USB- или СОМ-порт на 
компьютере. 

Как любой нормальный тюнер, 
GoTView РС! 7135 позволяет захва- 
тывать видео, причем при записи 
будут доступны фильтры. Также 
можно захватывать отдельные кад- 
ры и записывать их в одном из гра- 
фических форматов. Но самое ин- 


Технические характеристики: 


Тип тюнера: внутренний 


УКВ- и ЕМ-радио: есть 


Поддержка форматов: AVI, WMV, MPEG 1/2/4 


Пульт ДУ: есть 


ПО в комплекте: GOTVIEW PRO, WinDVD 
Creator 2 


Кабели в комплекте: кабель с ИК-датчиком, 
audio, внешняя антенна 


Основной чипсет: Philips SAA7135 


Интерсрейсы: TV antenna, S-video in, RCA in, 
mini-jack in/out, IR 


Цена, $64 


Tepec- 
ное, что 

можно смотреть телевизор удален- 
но с другого компьютера, при этом 
видео будет передаваться по сети. 
Это оценят пользователи, имею- 
щие дома несколько компьютеров. 

Сейчас стали популярны деше- 
вые миниатюрные видеокамеры, их 
можно купить на любом вещевом 
рынке по цене 1000-2000 рублей. 
Сост данного ТВ-тюнера может об- 
наружить движение и начать за- 
пись видео и вдобавок к этому вы- 
полнить какие-то другие команды 
при обнаружении движения. 

В итоге мы получаем ТВ-тюнер с 
качественной электронной начин- 
кой, позволяющей выводить кар- 
тинку не хуже обычного телевизо- 
ра, с массой дополнительных воз- 
можностей по настройке как тради- 
ционных функций, так и с экзоти- 
ческими, но весьма полезными се- 
тевыми и охранными свойствами. 
Не оставлена без внимания и 
функция отложенного просмотра - 
Time Shift. Плюс при наличии двух 
тюнеров в компьютере можно 
смотреть сразу два канала - 


режим PIP. 


ини иииии 
сли ты не занимался крэком, то, 
Е готов поспорить, частенько 
задумывался о возможности этого. 
Что ж, теперь у тебя есть все для того, 
чтобы попробовать себя на этом нелегком, 
но чрезвычайно интересном поприще! 
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Armadillo 4.20 @ 
DJ Java Decompiler (ver. 3.8.8.85) @ 
Microsoft Pocket PC 2003 SDK @ 
Microsoft Spy++ ® 

„.и куча софта 

gna (anti)cracking'a! 


весь софт из номера! 


POCKETPCSHACK 

mw eMbedded Visual С++ 4.0 
mw eMbedded Visual С++ 4.0 
SP4 

ш Microsoft Pocket PC 2003 SDK 


ВЗЛОМ И РЕВЕРСИНГ 
и DeDe 3.50.02.1619 

m DJ Java Decompiler 
V.3.8.8.85 

m EMS Source Rescuer 

mw Hex Workshop v.4.23 


\ 


Wp, 
527 


И 
ии. 


и ht 0.9.1 

и icedump 6.026 & ntice- 
dump 1.14 

ш IceExt v0.67 

и IDA 4.8 

и OllyDbg 1.10 


gw PE Tools v1.5.400.2003 
Xmas Edition 

и PEID 0.93 + plugins 

и RACEVB6 3.4.0 

mw REC 2.0 


и Semi VB Decompiler 0.03 


и VB Decompiler Lite 0.1 
и VB RezQ 2.6 

и VBParser 7.1.0.41 + src 
и VBReFormer 3.8 

и Winspector 


ЗАЩИТА 

gw Armadillo 4.20 

gw ASPack 2.12 

ш ASProtect 1.23 

ш Obsidium 1.2 

mw ORIEN 

и SoftwarePassport v.2.2.1 
и Stealth PE 2.1 

mw Hide PE 1.1 

m UPX 1.25 
(dos+linux+win32+src) 
и VMProtect v.1.05 

ш FSG 2.0 

mw Mew 11 SE v.1.0 

mw Morphine v.2.7 

и (Win)Upack v.0.29b 


ОСНОВАНА В 1992 


© 2 м 
i(auiiicral 


НА ДИСКЕ: 


Extraz: 


+ ко всему: 
PocketPCShAck @ 
Взлом и реверсинг @ 
Защита @ 


Лучший софт от М№оМаМе ® 


‘Обновления Windows (9x/XP/NT/2000/2003) @ 


— < 


Спец 06(55), Компьютеры будущего @ 
Июньские номера: Хакер, Железо, МС ® 


СОФТ ОТ МОМАМЕ 
BurninTest v.4.0 Pro 
Blaze DVD Copy 3.5 
Deer Park Alpha 2 
Hidden Camer 2.11 
Microsoft Baseline Security 
Analyzer 2.0 

Morpheus 5.0 BETA 

и NetPeeker 2.82 

и Onlineeye Pro 

и Opera 8.02 

и Quintessential Media Player 
и Build 103 

и Total Uninstall 3.32 

и URLBase 5 Pro 

и Sarmsoft Web Camera v2.0 
и WinXP Manager 

и ZendStudio 4.0.2 


Все это Ha 
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(ТИ НАРо | паяльник ) 


М№е01еХх (NeO1leX@rambler. 


ПАЯЛЬНИК 


www.alexhak.narod 


ШНУРКИ К ТЕЛУ 


ы хочешь стать фрикером? Не знаешь, с чего начать? Ты кто? Жестянщик или в столовую строем ходишь? 


С практики, естественно! 


4 


ПРЕДИСЛОВИЕ 


В жизни каждого 


мужчины настает мо- 


мент, когда он уже не 


чувствует в себе бы- 
лой удовлетворенности от обыденной 
жизни. Когда обычные игры с паяль- 
ником уже не приводят в экстаз и ду- 
ше хочется новых ощущений и пере- 
живаний. Писк очередного мульти- 
вибратора уже не приносит той удов- 
летворенности - некоторые в такие 
моменты спиваются, другие подсажи- 
ваются на наркоту, третьи вообще 
пускаются во все тяжкие, сгорая тем 
самым как личность бесповоротно. 
Когда у меня настал такой момент, я 
предпочел деградации смену npocpec- 
сиональной ориентации. Тогда-то ме- 
ня и посетила впервые эта замеча- 
тельная мысль - подсоединить шну- 
рок к телу. Не то чтобы прежний шну- 
рок меня не устраивал - у меня его 
просто не было. Для этого мне не по- 
надобилось обращаться к хирургу: 
настоящий жестянщик сам себе хи- 
рург. Однако довольно лирики, лучше 
определимся, стоит ли читать статью 
"этого извращенца", то есть меня, 
дальше. Прежде чем сесть за написа- 
ние этой статьи, я проштудировал ар- 
хивы журналов "Хакер" и "Хакер 
Спец" за последние два года. Утверж- 
дать, что за это время ничего толко- 
вого по подключению телефонов к 
компьютеру не было, значит изна- 
чально навлечь на себя гнев постоян- 
ных читателей и обрести врагов в ли- 
це коллег по цеху. Поэтому я не буду 
критиковать статьи по этой тематике 
за прошедший период времени, а 
лишь упомяну те, которые меня заде- 
ли за живое. Таких статей ровно одна 
штука - "Дело - труба" небезызвест- 
Horo автора Skylordia ("Хакер" №53, 
май/2003). Саму статью ты можешь 
найти в архиве на сайте, я лишь ска- 
жу, что именно она стала "отправной 
точкой" для опубликованного ниже 
сабжа. Даже больше: я настоятельно 
рекомендую ознакомиться со статьей 
Skylord'a, потому как некоторые ас- 
пекты моего поведения будут понят- 
ны только вкупе с ней. Именно в этой 
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статье Skylord категорически правиль- 
но ответил на вопрос "зачем?", поэто- 
му я постараюсь ответить лишь на 
вопрос "как?". А ты и только ты смо- 
жешь объективно оценить, насколько 
хорошо или плохо я это сделал. 


ОБЪЕКТЫ ИЗДЕВАТЕЛЬСТВ 
Конечно же, данная статья подра- 
зумевает наличие у тебя какого-ни- 
будь тела и компьютера. Если с пос- 
ледним все более-менее понятно, то 
про объект нашего издевательства, 
телесрон, думаю, стоит рассказать по- 
подробнее. Первым сотовым телефо- 
ном, над которым я надругался, стал 
Nokia 3310. С учетом его невысокой 
цены в настоящее время и отличного 
сигнального тракта именно его я реко- 
менаую в качестве подопытного кро- 
лика независимо от того, есть у тебя 
тело или нет. Однако ограничиться 
только моделью Nokia 3310 означает 
сильно сузить целевую аудиторию 
данной статьи. Ведь мы-то все на 
ixbt.com ходили, "МС" читаем и знаем, 
какие марки телефонов пользуются 
популярностью у народа... Поэтому я 
считаю, что не упомянуть про линейку 
телесонов Siemens будет слишком 
жестоко. Ну аесли я и Siemens затро- 
нул, то без полусамсунгов-недосимен- 
сов Siemens 5Тхх вообще не обойтись. 
А что же делать в таком случае чита- 
телям, скажем, с французскими 
Alcatel'amu или корейскими LG? Читать 
еще внимательней статью, не смот- 
реть на фото и ознакомиться с приат- 
таченой к диску дополнительной лите- 
ратурой, ибо по прочтению статьи ты 
сможешь подключить к компьютеру 
любое тело. Даже то, у которого нет 
отверстия ни спереди, ни сзади. 
Телефон может иметь следующие 
интерфейсы связи с окружающим ми- 
ром: радиоканал Bluetooth, канал 
инфракрасной связи IrDA и канал 
проводной связи по какому-нибудь 
последовательному порту. Что касает- 
ся первых двух, то для жестянщика 
они не интересны в принципе. С 
Bluetooth ни вардрайвинг замутить, 
ни прошивку поменять, ибо и радиус 
маленький, и риск загубить тело ка- 


кой-нибудь из ниоткуда появившейся 
помехой слишком велик. То же можно 
сказать про IrDA, а если учесть ее 
уверенную связь в пределах прямой 
видимости да на паре-тройке децимет- 
ров, то вообще можно сделать вполне 
логичный вывод, что кроме закачек 
порнокартинок из интернета этот ка- 
нал больше ни на что и не годен. Вот 
и получается, что как ни крути, как ни 
извращайся с этим хай-теком, ничего 
практически полезного из него не вы- 
жать. А провода как "рулили" десять 
лет назад, так и рулят по сей день, ни- 
чуть не уступая своего главенствую- 
щего места в мобильнотелесдонном 
мире. Вот потому-то до сих пор и осна- 
щают производители сотовых теле- 
фонов любой, даже самый наворо- 
ченный смартфон обыкновенным от- 
верстием в надежде, что пользова- 
тель чего-нибудь в него "привсунет". 
И каждый производитель выдумыва- 
ет для своей линейки телефонов свой 
собственный вариант распайки разъе- 
ма последовательного порта, по его 
(производителя) мнению, удобный 
для глумления над телом. А уж до че- 
го причудливы порой бывают матери- 
альные воплощения фантазий дизай- 
неров на этом поприще... И лишь 
только немногие производители при- 
держиваются хоть каких-то стандар- 
тов. Однако справедливости ради сто- 
ит заметить, что в пределах одного 
производителя, как правило, сущест- 
вует хоть какая-то стандартизация и 
унификация распайки и дформ-факто- 
ра разъема. Как правило, но не всег- 
да. Скажем, горячим финским парням 
из Nokia вообще "по большому зеле- 
ному барабану" на этот форм-фактор, 
ибо как иначе объяснить столь мозо- 
лящее глаз различие в цоколевке да- 
же в пределах двух соседних (по вре- 
мени запуска в серийное производ- 
ство) модельных рядов? И даже 
Siemens, столько времени хранившая 
верность своему разьему, опорочила 
свою репутацию, связавшись с 
Samsung'om. Плод этого греха полу- 
чил имя $Тхх, и на момент написания 
статьи он представлен двумя версия- 
ми: ST55 и ST6O. Но чтобы у тебя не 
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Рис. 01: Распайка USB-pa3bemoB 


Рис. 02: USB-npeo6pa3oBartenb Ha Prolife 
PL-2303 


возникло ни капли подозрения о моей 
предвзятости по отношению к этим 
двум моделям ($155 и ST60), спешу 
заверить, что с ST6O я сожительство- 
вал не один месяц, и, в целом, тело 
мне понравилось. Да и вообще цель 
этой статьи - не обзор достоинств и 
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Рис. 04: MAX232CPE 


недостатков той или иной модели, по- 
этому не будем больше отвлекаться и 
займемся непосредственно шнурками. 


ПРО ШНУРКИ 

и Проще всего подключить к компь- 
ютеру теледоны фирмы Motorola. 
Они, как правило, придерживаются 
общемировых стандартов и снабжают 
свои детища розеткой USB. За приме- 
рами далеко ходить не надо: С250, 
C330, C450, C550, \150. Что не может 
не радовать. А посему обладатели та- 
ких моделей могут смело дальше не 
читать, ибо для изготовления сего 
шнура не нужно прикладывать ника- 
ких телодвижений: в любом компью- 
терном магазине тебе без проблем 
продадут то, что изображено на рис. 0. 
А когда дух жестянщика бунтует и 
противится, предлагаю без излишних 
прелюдий взглянуть на рис. 1. 

Если уж мы заговорили о USB, то 
без упоминания о "пролайсриках" - 
однокристальных преобразователей 
USB-RS232 - здесь точно не обойтись. 
Мне не хотелось бы показаться 
"подстрекателем" и призвать народ 
засунуть в темное место паяльник и 
купить за $15-20 этот девайс, однако 
поддержка ядром Ипих-сабжа застав- 
ляет, как минимум, задуматься об 
этом. Сам сабж представлен на рис. 2. 
Собственно, только линуксоидам я 
его и рекомендую, ибо мы и так Богом 
обижены -:-). В среде OC Windows пре- 
имуществ от него не ощущается (нап- 
ример тонкой настройки скорости об- 
щения с телесфоном, которая больше 
или равна 115 кБит). А если еще учи- 
тывать совершенно непонятный для 
меня алгоритм общения с драйвером 
(который имеет склонность меняться 
от версии к версии драйвера), то це- 
лесообразность (и безопасность при 
перепрошивке) применения ставится 


под большим ракообразным вопро- 
сом. Тем не менее, я пользовался 
этим девайсом и проверил на себе его 
работоспособность. Однако в домаш- 
них условиях, приближенных к бое- 
вым, изготавливать крайне не реко- 
менаую, ибо только стоимость мик- 
росхемы PL-2303 можно поставить 
под все тот же вопрос. Есть еще вари- 
ант на микросхеме СР1201, однако тру- 
доемкость изготовления на ее базе 
также не оправдывает вложенных в 
устройство средств. Если уж и изго- 
тавливать шнурок самостоятельно, то 
он, как минимум, должен быть на не 
специализированных элементах, кото- 
рые можно достать если не на помой- 
ке, то уж в самом отстойном магазине 
Урюпинска. Вот тот, что изображен на 
рис. 3, вполне подходит под это требо- 
вание. Преобразователь уровней сиг- 
налов выполнен на микросхеме 
МАХ232СРЕ (рис. 4) от буржуйской 
конторы MAXIM. Почему же "преобра- 
зователь уровней", если мы говорим 
06 обычном порте RS-232? Да oH 
только со стороны компьютера обыч- 
ный с лог.1, равной -12 В, и nor.O, рав- 
ным +12 В соответственно. А со сторо- 
ны телефона эти уровни сигналов по 
меньшей мере неразумны. Представь, 
за сколько времени "садился" бы ак- 
кумулятор сотового телефона, имею- 
щий такой сигнальный тракт. О переп- 
рошивке или мобильном интернете с 
ноутбука тогда можно было бы вооб- 
ще забыть или же носить с собой 
внешний источник питания в виде 
двух чемоданов аккумуляторов от КА- 
МАЗ'а. А так и овцы сыты, и волки це- 
лы :). Собственно, сама микросхема 
МАХ232СРЕ и есть преобразователь 
уровней. Полный datasheet на всю се- 
puto МАХ!М'овских преобразователей 
ты найдешь на диске, а пока рекомен- 
дую взглянуть на рис. 5, где показано 
ее внутреннее устройство. Как пока- 
зывает рис. 5, микросхема состоит из 
двух пар таких преобразователей. 

2 ТТЛ в RS-232 и2 RS-232 в ТТЛ. А 
так как нам для счастья много не нуж- 
HO, то в схеме на рис. 3 и использова- 
но ровно по одному. Переключателем 
с фиксацией SAI мы выбираем, с ка- 
ким телефонным интерфейсом будем 
работать. A! Я же тебе еще не расска- 
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зал, что их бывает несколько! Да, це- 
лых gBa - FBUS и MBUS. Собственно, 
все различие заключается в TOM, что 
в телефонном интерфейсе FBUS сиг- 
налы приема и передачи (RX и TX со- 
ответственно) разделены на две ли- 
нии. Ну а в интерфейсе MBUS такого 
разделения нет, а потому сигналы RX 
и TX передаются по одному провочку. 
Как это осуществляется в телефоне, 
тебе, в принципе, простительно и не 
знать, а в преобразователе на рис. 3 
это осуществляется каскадом на тран- 
зисторах \/Т1 и VT2. Светодиоды VD3 
и VD4 указывают своим свечением, 
что происходит именно в данный мо- 
мент (прием или передача данных), ну 
а VD5 просто информирует о том, что 
девайс включен и готов к труду и обо- 
роне. Вот на этом слове можно было 
закончить описание преобразователя 
и спокойно идти на заслуженный от- 
дых, однако, мне кажется, что у тебя 
осталось несколько неразрешенных 
вопросов. Попытаюсь разъяснить их. 
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Каскад для подключения Alcat 
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Вопрос на сто рублей: что это за 
клеммы "а" и "б", подписанные авто- 
ром, прикинувшимся Штирлицем. 
Чтобы не городить на девайс лишних 
деталей, которые, возможно, тебе ни- 
когда не пригодятся, я не стал вклю- 
чать в преобразователь узел согласо- 
вания с французскими телесронами 
Alcatel DB. Тем более зверь это выми- 
рающий, распространен в почти вы- 
рубленных лесах России мало. Однако 
возможность использования преобра- 
зователя уровней для связи такого те- 
лефона с компьютером оставил. Для 
этого лишь необходимо задейство- 
вать каскад, показанный на рис. 6. 

А вообще-то изначально преобра- 
зователь интерфейса изготавливался 
nog мою Nokia 3310 (рис. 7). Это не 
значит, что он не будет работать с 
другими телефонами - будет иеще 
как. Однако модель я упомянул не 
случайно. Дело в том, что данная мо- 
дель телефона (а также некоторые 
другие) использует оба интерорейса: 
как MBUS, так и FBUS. Не одновремен- 
но конечно, но использует. Соответ- 
ственно, и в некотором сосфте присут- 
ствует возможность выбора нужного 
интерфейса, а где такового не имеет- 
ся, то тут уж тебе ручками придется 
выбрать правильное положение пе- 
реключателя SAI на схеме рис. 3. Og- 
нако если ты завел этого зверя не- 
давно или только собираешься, рас- 
смотрев перед сном витрину магази- 
на, то можешь уличить меня во лжи. 
Можешь, не моргнув глазом, сказать: 
"Нет такого разъема у этого тела ни 
спереди, ни сзади". Да, действитель- 
но, это так: он у него... внутри и распо- 
ложен под аккумулятором! Сие чудо 
представлено на рис. 8. Конечно, луч- 
ше воспользоваться "фирменным" 
разъемом, то есть тем, который разра- 
батывался исключительно под это те- 
ло. Его можно приобрести за пачку 
сигарет не только в сервисном центре 
у бородатого дядьки, но и на помойке 
рядом с этим сервисным центром. Ка- 
кой способ лучше - решай сам. Я же в 
свое время вообще использовал ку- 
сок фольгированного текстолита и 
четыре медных сапожных гвоздя с ре- 
зиновой направляющей. Фотография 
разъема промышленного образца да- 
на на рис. 9. 

Естественно, собирать сабж мы бу- 
дем не на картоне, прикручивая гни- 
лыми проводами без изоляции, а на 
печатной плате из фольгированного 
стеклотестолита толщиной 0,8-1,0 мм. 
Размеры платы - 65 мм x 50 мм. Шаб- 
лон для печатного монтажа с разре- 
шением 600 dpi ты найдешь на диске, 
а пока предлагаю посмотреть на рис. 10. 
Первое, на что стоит обратить внима- 
НИе - элементы красного цвета. Имен- 
но они изображены на рис. 3. Нуа 
элементы фиолетового цвета - соот- 
ветственно для схемы на рис. 6. Эта 
часть нуждается только в одном ком- 
ментарии: дабы не мудрить с еще од- 
ним переключателем, который еще 


неизвестно пригодится когда-нибудь 
или нет, я ввел обыкновенную конта- 
ктную тройку под перемычку. Осталь- 
ные компоненты в особом представ- 
лении не нуждаются. В качестве пе- 
реключателя SAI использован уже 
знакомый П2К с фиксацией положе- 
ния контактной группы. Конденсато- 
ры Ha 10 мкФ - любые танталовые 
бескорпусные ("сопли"), например 
фирмы TREC. Остальные - отечест- 
венные К50-35. Резисторы - любые, 
подходящие по габаритам и сопротив- 
лению, мощностью не менее 0125 Вт. 
Транзисторы - любые из серии KT315, 
диоды КД521. В качестве VD5 лучше 
всего использовать светодиод крас- 
ного цвета свечения, остальные - зе- 
леного или желтого. Исполнение той 
части тракта RS-232, которая соединя- 
ется с разъемом Х$1, остается на твое 


одкравшись внутрь, с 


Рис. 09: Разъем для Nokia 3310 


усмотрение: хочешь, напрямую про- 
вода припаяй, а хочешь - сделай пра- 
вильно. Под "правильно" я подразу- 
меваю использование стандартного 
шлейфа RS-232 на АТ-плату, в KOTO- 
ром DB-9M (папа) заменен на ОВ-9Е 
(мама). Шестой вывод десятиконтакт- 
ной розетки должен остаться свобосд- 
ным. Расположение проводников 
представлено на рис. 1. Распайка 
разъема для подключения к телесро- 
ну (ТТЛ-часть преобразователя) дана 
на рис. 12, вид со стороны телефона. 


Рис. 13: Схема преобразователя с одним интерфейсом 


ВМЕСТО СЛАДКОЙ ВАТЫ 
= Чего всегда не любил делать - ка- 
тать напоследок вату о крутости и 
пользе сего девайса. Это тебе и дядь- 
ка Google расскажет, ты только вол- 
шебное слово с моделью телефона 
скажи. Лучше расскажу, ка- 


кое схемотехническое реше- 


i | ние я использовал для NOgK- 


лючения своего Siemens 
ST60. Дело в том, что не сто- 
ит городить такую схему, как 
на рис. 3, если твой телефон 
использует только одну 
FBUS. Это не обязательно 
должен быть ST6O, работо- 
способность девайса прове- 
рена на С60 и $65, а следо- 
вательно, на всей серии, о 
которой упоминал Skylord. 
Можно, конечно, упростить 
ту, что на рис. 3, однако нас- 
тоящий жестянщик пробует 
несколько схемотехнических 


Puc. 11: Расстрассированные проводники 


1 - MBUS 
2-GND 
XS1 NOKIA 3310 


3-FRUS RX 
4-FBUS TX 


решений, дабы выбрать луч- 
шее. Это я тебе и предлагаю 
сделать, взглянув на рис. 13. 
Собственно, аналогичный 
каскад был использован в 
схеме картоприемника, поэто- 
му затруднений в изготовле- 
нии этого девайса у тебя воз- 
никнуть не должно. Тут, как 
видишь, их два. Девайс пита- 
ется от напряжения 5.12 В. 
Детали аналогичны предыду- 
щему преобразователю 
(смотри рис. 14), поэтому 
предлагаю перейти непосре- 
дственно к конструкции саб- 
жа. Он тоже изготовляется на плате 
из фольгированного текстолита толщи- 
ной 0,8-1,0 мм и размерами 40х20 мм. 

К сожалению, негативы (:-)) дотогра- 
cpu перед травлением засветились, 
что было замечено слишком поздно, а 
жаль, потому как посмотреть было на 
что. Дело в том, что плата рисовалась 
не как обычно - лаком, а красным мар- 
кером Digitex для нанесения надписей 
на CD. Конечно же, рисунок пришлось 
наносить в несколько слоев, однако я 
рекомендую этот способ начинающим 


УТ, УТ КТ Se 


Рис. 14: Детали преобразователя с og- 
ной FBUS 


жестянщикам. Впрочем, ты и сам уже 
знаешь, как лучше рисовать платы, а 
потому смотри на расположение ком- 
понентов на рис. 15 и на трассировку 
платы (рис. 16) и рисуй, рисуй, рисуй... 
В итоге у тебя должно получиться 
нечто, примерно похожее на то, что 
представлено на рис. 17. Кстати, разме- 
ры платы случайно (;-)) совпали с раз- 
мерами корпуса под горелый "пролай- 
фик". Думаю, этим нельзя не восполь- 
зоваться. И напоследок пара слов о 
разъеме. В этом случае для соедине- 
ния с телефоном я использовал разь- 
ем от зарядного уст- 


ройства. Проблема нех- 
ватки нужных контак- 
тов решается с по- 
мощью консервной 
банки и ножниц. Ты что 
это меня слушаешь, а 
паяльник еще не вклю- 
чил? Смотри, тогда я 
иду со своим... Нагре- 
тым... Ага, ориентацию 
поменяем.. ;-). ИЕ 


нентов 


Рис. 16: Трассировка платы 


Рис. 15: Расположение компо- 


Рис. 17: Результат 
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Человек за компьютером 
был весел: его пальцы постуки- 
вали по клавиатуре в такт звуча- 
щей из колонок музыке. Перед 
ним на мониторе разворачива- 
лась история - глупая, смешная 
история. Временами глаза наб- 
людателя смотрели на индикатор 
записи: все, что происходило 
сейчас на экране, записывалось 
в файл. 

- Будет чем похвастаться се- 
годня, - промурлыкал он себе под нос, когда события на экране стали разви- 
ваться особенно бурно. - Начальство будет довольно. 

Он подрегулировал резкость и яркость, откинулся на спинку кресла и 
положил ноги на стол рядом с мышкой и чашкой с остатками чая. Руки сами 
собой сложились крестом на груди. Поза была до нельзя удобной. Человек 
прикрыл веки, но прежде чем задремать, протянул руку к колонке и приглу- 
шил звук. Содержание его в настоящий момент не интересовало: оно ему 
было просто ни к чему. Скоро он ровно задышал, сон смежил его веки. А на 
экране продолжалось действо... 


жжжжж* 


Тарелка с салатом была уже на две трети пустой. Фомин тупо во- 
зил в ней ложкой, стараясь зацепить несколько горошин сразу, но это 
y него не получалось. Правда, степень его упорства давно перевали- 
ла за сто процентов, остановиться он уже не мог и был обречен уме- 
реть от голода возле этой тарелки. Ложка выделывала немыслимые 
круги, разрисовывая все вокруг майонезом, словно мороз на стекле 
окна. Дыхание было тяжелым, будто весу в ложке было не меньше 
ста килограммов. Фомин облизывал губы и придерживал предплечье 
свободной рукой, пытаясь прицелиться. Горошины, как назло, выва- 
ливались из ложки именно в тот момент, когда он был готов подхва- 
тить очередную, стараясь довести их число в ложке GO десяти. 

- Ухты... - шептал он себе под нос. - А вот... Блин.. 

Задача была не из легких. Учитывая тот факт, что две трети тарелки съел 
не он, можно было предположить, что от голода он действительно скоро ум- 
рет. Казалось, что десять горошин в ложке - это некое абсолютное условие 
существования, без которого дальше жить и уж тем более есть, было просто 
невозможно. 

Обстановка вокруг Фомина располагала к долгой ловле горошка. Нач- 
нем с того, что в комнате он был совершенно один. Никто не торопил его, не 
заставлял делать все быстро. Никто не толкал под локоть, не просил пере- 
дать соль или плеснуть еще водки в рюмку. 

Вокруг не было никого. 

- Сейчас... Вотеще чуть-чуть... 

Он высунул язык, словно ребенок, увлеченный сверхважным делом. 
Ложка выделывала немыслимые пируэты, словно приклеенная к гороши- 
нам в салате. И когда последняя из них уже была готова вот-вот сорваться в 
мельхиоровую западню, в дверь кто-то позвонил. 

Фомин вздрогнул, растеряв половину того, что уже поймал к этому мо- 
менту, потерял из виду ту, за которой гонялся последние минут десять, грох- 
нул кулаком по столу и пошел открывать. По пути он задел ногой пару стуль- 
ев, расставленных вдоль стола, едва не уронил бокал, стоящий на углу, и 
выдал в воздух пару матерков в адрес того, кто пустил насмарку его занятие. 

За дверью стоял Петя, или, как OH любил называть себя еще со студен- 
ческих времен, Петр Иваныч. Почему он требовал ото всех обращения "по- 
взрослому", было тайной, но никто особо не перечил, ибо звучало это go- 
вольно прилично. 

- Не ждал? - прищурившись, спросил Иваныч, опираясь одной рукой о 
косяк. - Еще осталось что-нибудь? 

Фомин кивнул. 

- Фома, ты чего? - наклонив голову, спросил Иваныч. - Ты при памяти? 
Я Bongy? 

Фомин в очередной раз кивнул и отошел в сторону, пропуская гостя, 
после чего закрыл дверь и махнул рукой в сторону комнаты. 

Петя разулся, не отрывая взгляда от хозяина квартиры, в которую во- 
шел, и не переставая ухмыляться. Видно было, что Фомин изрядно пьян, но, 
по разумению Петра Иваныча, это сегодня было само собой разумеющееся 
состояние. Вошли они в комнату практически одновременно, едва пропих- 
нувшись в двери. Петр осмотрел комнату и присвистнул. 

- Никого?! Все-таки они сделали, как сказали? Ну, парни... Я думал, они 
шутят. Хотя такие практически никогда не шутят.. 

Фомин скривил губы и посмотрел в сторону тарелки с салатом. 


- Нет, почему же, был тут один... Сожрал оливье... Почти все сожрал. По- 
моему, это был кто-то из группы Гифа.. Чего-то не помню, он представился 
то ли именем, то ли ником, хрен их разберет. 

- Драки не было? - поинтересовался Петр, уже по-другому рассматривая 
лицо Фомина и выискивая на нем следы битвы за правое дело. 

- Нет, - отмахнулся Фома. - А надо бы.. То есть можно было бы мне и по 
морде дать. Я бы не против. 

- Могу дать, - улыбнулся Иваныч. - Но не считаю нужным. 

Пройдя вдоль стены, Петр опустился на стул рядом с телевизором, взял 
с него пульт, ткнул в кнопки. Экран засветился, обрадовав Иваныча крова- 
выми кадрами "Дежурной части". 

- Знаешь, здесь вот (Петр махнул пультом в сторону экрана) все гораздо 
круче, чем в "Крестном отце" Марио Пьюзо. Поэтому твоя проблема - это ничто. 

Фомин скривил губы, тупо вглядываясь в происходящее на экране. Кто- 
то, очевидно, понадеявшись на авось, пытался сбыть партию фальшивых 
долларов. Получалось это из рук вон плохо: практически с самого начала 
(стоило ему только проснуться и подумать о том, как бы совершить преступ- 
ление) ему впарили массу скрытых камер, следили за каждым его шагом, 
все записывали и фотографировали. Короче, очень грустный получался 
Голливуд. Кончилось все тем, что парню посреди города заломили руки, 
ткнули мордой в капот и радостно сообщили о TOM, что еще одной сволочью 
стало меньше. 

Иваныч время от времени переводил глаза с телевизора на Фому и обрат- 
но. Хозяин квартиры был изрядно пьян, но чувствовалось, что он анализирует 
ситуацию еще очень даже четко. Когда сотрудник милиции, стоя спиной к каме- 
ре, рассказывал об успехах своей опергруппы, Фомин тоскливо кивнул сам се- 
бе, встретился взглядом с Петром и пробрался к своему месту за столом. 

- Здорово, ничего не скажешь, - сказал он в тарелку с салатом. - Правда, 
не думаю, что ты знал, что именно покажут по ящику, когда включал его. 
Совпадение? 


Ну, парни... Я думал, они шутят. 
Хотя такие практически 
никогда не шутят... 


- Сто процентов, - ответил Иваныч, разглядывая стол. Чувствовалось, что 
он очень даже не против перекусить. - Собственно, сам не понимаю, чего 
меня дернуло взяться за пульт. 

- Судьба, - согласился Фомин. Протянув руку к бутылке водки, он тяжело 
поднял ее, плеснул в рюмку, что стояла рядом с ним, после чего вопроси- 
тельно взглянул на Петра. 

- Запросто, - ответил TOT, быстро сориентировавшись и поставив еще 0д- 
ну рюмку под готовую рвануться из бутылки струю. Фома наливал будто из 
браноспойта - не заботясь о том, сколько разольет на скатерть. Иваныч OCO- 
бо не контролировал процесс: ну, мимо так мимо. Хозяин-барин. 

Поставив рюмку возле себя, Петр накидал в пустую тарелку несколько 
кружков копченой колбасы, протянул руку за нарезанным сыром и вдруг Уг- 
лядел на дальнем конце стола салат из крабовых палочек с кукурузой. 

- Фома, это выше моих сил, - демонстративно облизываясь, сказал он. - 
Если ты не против, я пересяду. 

- Только телевизор выключи, - задумчиво кивнул Фома. - Ато мало ли: 
вдруг покажут еще что-нибудь подобное, так я не выдержу, глупостей наделаю. 

- Каких же, если не секрет? - спросил Иваныч, нажимаю кнопку на пуль- 
те и примериваясь, как бы получше обойти стол. - Тарелкой в экран? 

- Мелко, - отрицательно покачал головой Фомин. - Телевизор тут ни при 
чем. Виноват тот, кто его включил... 

- Или тот, кто его купил, - согласился Петр, накладывая себе несколько 
полных ложек салата. Фома поднял на него усталый взгляд, нахмурил лоб, 
словно пытаясь понять, кто же на самом деле купил этот чертов телевизор. 
Спустя пару секунд он оставил все попытки, опрокинул в себя рюмку, смор- 
щился, прижав рукав к лицу. Свободная рука сама потянулась к вилке, на- 
цепила кружок колбасы. 

- Ну, - закусив, Фомин посмотрел на Петра, - спрашивай. 

- 0 чем? - не отрываясь от крабовых палочек и кукурузы, спросил Петр. 

- Сам знаешь о чем. 

- А тост? Не нужен? - поинтересовался Иваныч, контролируя одной ру- 
кой рюмку на столе. - Как-никак... 

- Короче. Тост - и потом спрашивай. 

Петр встал, откашлялся и, оглядев пустые стулья по периметру, сказал: 

- Я, Фома, знаю тебя уже много лет.. Достаточно много. Восемь. Хочу ска- 
зать, что... Понимаешь, мы уже перешли некую границу. А за ней все иначе... у 
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- Ты скем сейчас разговариваешь? - внезапно спросил Фомин, накло- 
нив голову в сторону. - Тост где? Я уже наливаю. 

- Решил напиться? - укоризненно спросил Петр. - Они этого не любят. 

- "Они"? Что ты про них знаешь? - Фомин вертел в руках бутылку, слов- 
но измеряя объем. 

- Извини, Фома, ладно... Это я чего-то загнул. Пофилософствовал. Если 
можно, я продолжу. Хочу сказать в этот день, день твоего, Фома, тридцати- 
летия, хочу пожелать, хочу... 

- Спасибо, - кивнул Фомин и выпил. - В такой обстановке лучшего тоста и 
не придумаешь... 

Петр пожал плечами и последовал его примеру, после чего опустился 
за стол и принялся молча пережевывать колбасу. Интерес к крабовым па- 
лочкам он потерял. 

В комнате стало тихо. По разные углы стола сидели два человека, кото- 
рые очень хотели бы поговорить друг с другом, но одному не позволяло yn- 
рямство и алкоголь, а второму - смятение и грусть. Периодически они испод- 
лобья кидали друг на друга взгляды, но ни разу не встретились глазами, так 
что повода заговорить пока не было. Фома откинулся на спинку стула и 
прикрыл глаза, его посетило нечто вроде нирваны, он расслабился и был 
готов задремать, но внезапно Петр не выдержал и спросил: 

- Так все-таки - что толкнуло? Деньги? 

Фомин открыл глаза и посмотрел куда-то прямо перед собой, словно 
пробуя на вкус каждое произнесенное Иванычем слово. 

- Деньги - это, Петя, фигня, - спустя пару секунд ответил он. - Пожалуй, 
даже не так. Это я еще загнул. Никакая не фигня, а вообще ничто. Вещь, не 
имеющая в данной ситуации никакого веса. У моего поступка нет цены в де- 
нежном эквиваленте. 

Петр недоумевая посмотрел на Фому и не нашелся, что сказать. 

- Понимаю, Иваныч, твое недоумение, прекрасно понимаю. Сам чувство- 
вал то же самое, когда принимал решение. 


Иваныч развел руками. После 
упоминания о "жучках" ему 
вообще расхотелось 
говорить вслух. 


- Неужели ты... По идеологическим соображениям? - произнес Петр. - He- 
ужели сам? 

- Кто из нас пьян, не пойму, - ухмыльнулся Фома. - Ты сам-то понял, что 
сказал? "По идеологическим.." Это ж полная чушы Какая тут может быть 
идеология? Я же их всех ненавижу! 

Он встал, покачнувшись, подошел к окну и ткнул в него пальцем. 

- Здесь все принадлежит им! Мы даже дышим до сих пор бесплатно, по- 
тому что они решили, что им пока хватает! А как захотят еще денег, так надо 
будет кислородные подушки в магазинах покупать втридорога! 

Он с досады махнул рукой и хлопнул ей по оконной раме. C его губ сор- 
вался тяжелый B3GOX. 

Петр молчал, ничего не понимая. OT его полной готовности поговорить с 
Фомой не осталось и следа. Он тоскливо осмотрел стол и понял, что его за- 
нимает сейчас один вопрос: как пополнить рюмку. Фома словно почувство- 
вал это, направился к столу и по пути бросил взгляд на экран выключенного 
монитора, стоящего в углу комнаты. 

И его словно взорвало. 

- Да как ты мог подумать, что я добровольно пошел работать к ним?! Ты 
мог себе такое представить? Да мне бы это в страшном сне не приснилось! 
Надо же, a... Так вы, наверное, все так думаете? Да ну, скажи. Все?! Ведь по- 
чему-то же никто не пришел ко мне на день рожденья?! 

- Нет, ну, я же пришел... - опешил от такой экспрессии Петр. - Иты гово- 
рил, что приходил еще кто-то... 

- Знаешь, зачем он приходил? - почти вплотную приблизился к Иванычу 
Фома. - Чтобы сказать мне, что я самая последняя сволочь в этой жизни! СА- 
МАЯ! ПОСЛЕДНЯЯ! СВОЛОЧЫ Твою мать... Да что вы понимаете в этой жизни, 
хакеры хреновы! 

- Ничего, - мгновенно согласился Петр. Сказать ему пока было нечего. 
(Судя по всему, тот парень, что приходил до него, был не особенно расторо- 
пен, если успел съесть за время беседы больше половины тарелки салата. 
Похоже, он исполнял тут некий обвинительный монолог, который ему пору- 
чили сказать ребята из его хак-группы. 

- Тебе тоже поручили передать мне "черную метку"? - спросил Фома. 
Похоже, сегодня он был просто в ударе по угадыванию чужих мыслей. - Te- 
бя послали сюда, как самого красноречивого? Или как самого бесстрашно- 
го? Или как-нибудь еще? Может, я чего-то не понимаю?! 
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- Фома, присядь, - только и сумел выдавить из себя Петр. - Сделай паузу, 
скушай "Твикс". 

- Обхохочешься какой ты остроумный, - мотнул головой Фомин. Его тут 
же повело в сторону, он ухватился за спинку стула и едва не повалился на 
пол. Иваныч протянул руку и ухватил его за плечо. Фома, обретя равнове- 
сие, вырвался из цепких пальцев Петра, сделав это с презрительным выра- 
жением лица. 

- Нечего меня тут поддерживать. Где вы раньше были, друзья липовые.. 

- Тыочем, Фома? - спросил Петр. - Все друзья у тебя были настоящие. 

- Вотименно "были". Вы все смелые каждый за своим ящиком. Кодеры- 
шмодеры. А когда go дела доходит, все в кусты. Да поглубже, поглубже, чтоб 
никто и никогда.. "Это не я, меня там не было, я вообще ни при чем". Тьфу! 

- О чем ты, Фома? - пожал плечами Петр. Он немного освоился с мане- 
рой хозяина излагать свои мысли, протянул руку за бутылкой, плеснул им 
обоим по полной рюмке, встал и подошел к Фомину, протягивая ему ем- 
кость. - Давай по маленькой, а потом ты чуть помедленней и чуть поподроб- 
ней. Договорились? 

Фомин кивнул, выпил и отказался от предложенного кусочка сыра. Петр 
все-таки настоял на своем, запихал его Фоме в рот, после чего вернулся на 
свое место. Фома же опустился в кресло возле компьютера. Закинув ногу на 
ногу, он застыл в какой-то нелепой позе, рассматривая дырку на носке. 

- Ну как? - поинтересовался Петр. - Говорить можешь? 

- Могу, - кивнул Фома. - Сейчас, только подумаю, с какого места начать.. 
А кстати, компьютер не нужен? Хороший. 

Он махнул рукой в сторону стоящего на столе монитора, после чего 
взглянул под стол, где стоял корпус со снятой крышкой. Лицо исказила ка- 
кая-то жуткая гримаса злости и сожаления. 

Иваныч отрицательно покачал головой и спросил: 

- Не пользуешься? 

- А как? - вопросом на вопрос ответил Фома. - Колпак - покруче брони- 
рованного. Я иногда думаю, что у меня дома камер и "жучков" понатыкано 
больше, чем в американском посольстве. Да не крути ты башкой... Страшно 
стало, что ли? Я думаю, что тебе и так давно уже все известно. Они, похоже, 
вообще всех моих друзей и знакомых прозондировали. 

Петру явно стало не по себе. Он нервно отломил корочку хлеба и при- 
нялся разминать ее пальцами. Изредка он кидал взгляды в углы комнаты, 
но обнаружить хоть какие-то средства слежения ему не удалось. 

- Не ищи. Я уже искал, и не так как ты - косыми взглядами. Я все конкрет- 
но делал - со сканером, с отверткой и плоскогубцами. Думал, найду, раздол- 
баю все к чертовой матери. Не нашел. Не судьба. А может, и нет тут ничего. 

Иваныч посмотрел на Фому взглядом, в котором было все: жалость, 
сострадание, понимание, укор. Вся боль человечества - не иначе. И Фома, 
увидев его глаза, одними губами прошептал: "Я нашел. Жучок за монито- 
ром. Не стал трогать, пусть думают, что не знаю". 

Иваныч, с губ которого был готов сорваться вопрос о дальнейшей жиз- 
ни Фомы, замер. Фоме он верил: тот не стал бы ради шутки нагнетать обста- 
новку. Он нашел один "жучок" - а где один, там может быть много. Поэтому 
в разговорах надо быть поосторожнее.. 

- Тебе по-прежнему интересно узнать, как все случилось? - сменив позу 
в кресле, спросил Фома. - Интересно узнать, как же низко пал ваш великий 
Джент, который два года руководил самой громкой и известной хак-коман- 
gon? Хочешь окунуться в это дерьмо? 

Иваныч развел руками. После упоминания о "жучках" ему вообще рас- 
хотелось говорить вслух. 

- Зря молчишь, - сказал Фома. - Нет в мире радости больше, чем радость 
человеческого общения. Ладно, будем считать, что ты спросил. 

Он встал с кресла, залез под стол - туда, где тихо пылился раскрытый и 
раскуроченный корпус. Нетвердыми пальцами он стал соединять там какие- 
то проводки, потом вытащил на свет винчестер, взглянул на расположение 
джамперов на нем, удовлетворенно покачал головой и засунул все обратно. 

- Давай-давай, - ободрял он сам себя. - Время есть. 

- Помочь? - спросил Петр, подойдя поближе. 

- Не напрягайся. Лучше еще водки выпей, - раздалось из-под стола. - И 
мне налей, я тут недолго. 

Петр подчинился, налил водки, взял рюмки и подошел к Фоме, встав y 
него за спиной. Тот постепенно перемещался куда-то совсем к стене, оста- 
вив снаружи только ноги. Иваныч смотрел на него сверху вниз, пытаясь по- 
нять, зачем Фоме все это понадобилось. Судя по всему, хозяин восстанавли- 
вал провода вдоль плинтуса, которые были кем-то оборваны. 

Пару раз Фома попросил отвертку, потом изоленту. Петр отставил рюм- 
ки, понемногу втянулся в процесс, присел на корточки и стал разглядывать 
внутренности компа Фомы. Железки там были очень даже ничего, крутые. 
Фома вообще никогда не жалел денег на содержание машины - покупал 
все самое новое и фирменное. Начинки его компьютера (по цене) могло 


хватить на оформление компьютерного класса в школе. Петр всегда пора- 
жался стремлению друга заполучать все самое лучшее. 

- Знаешь, - донеслось откуда-то из-под стола, - я тоже думал о таких, ка- 
ким стал сам: "Как они могут, блин? Дружба, идеалы, все такое. Как?" Ответ 
прост go безобразия: могут, да еще как. 

Петр вертел в руках ненужную пока отвертку и понимающе кивал. Нако- 
нец, Фома выбрался обратно, отряхнул ладони, потом дополнительно вытер 
их о джинсы и удовлетворенно произнес: 

- За это надо выпить. 

Иваныч протянул ему рюмку. Фома покачал головой: 

- Я бы и от бутербродика не отказался. 

После чего встал и вернулся к столу. Стул скрипнул под ним, когда он 
тяжело опустился на прежнее место, сохраняя противостояние с Петром в 
три метра и следя за тем, чтобы масса тарелок, графин с соком и торт разде- 
ляли их, словно демаркационная линия. 

- Явключу его чуть позже, - кивнул он в сторону компьютера. - А пока у 
нас есть время договорить. 

Он пригладил волосы на голове и начал: 

- Два года назад, если ты помнишь, я выдвинул бредовую идею о попыт- 
ке заработать в виртуале живые деньги. Все, конечно же, были "за" и по об- 
щему согласию спихнули идею разработать план мне. Любили вы меня тог- 
да, ценили и уважали.. 

Петр попытался вставить слово, но Фома жестом остановил его: 

- Я знаю, Петя, что ты в моей группе никогда не был и о тех самых пла- 
нах понятия не имел. Но ведь слишком велика тайна, Иваныч, чтобы ей де- 
литься. Хакеры, Петя, как бабы. Секреты хранить могут, но не хотят. Поэтому 
по тем временам было все очень просто: чем меньше народу посвящено в 
то, чем мы занимаемся, тем лучше. Идея возникла да вроде бы и умерла тут 
же. Но в душу запала... А у меня, если помнишь, ничего так просто никуда не 
пропадало. 

- Конечно, Фома, - согласился Петр, который все это время насторожен- 
но смотрел в сторону монитора, за которым находился найденный хозяином 
квартиры "жучок". - У тебя все было по полочкам разложено. 

Фома напрягся, потер виски и продолжил: 

- Тогда у меня был, наверное, пик формы. То, что мы делали, было прос- 
то здорово. Море информации, добытой для клиентов, удовольствие от про- 
исходящего - это заставляло думать дальше, искать новые формы. Нас бы- 
ло четверо.. 

Петр не выдержал и кивнул в сторону монитора. 

- Чего? - не понял Фома, проследил взгляд гостя и отмахнулся. - Я же 
сказал "было". Их всех... Короче, уже можно. Так вот, нас было четверо, как 
мушкетеров. Я отвечал за планирование, программированием занимались 
два брата (мы их называли Чук и Гек), а аналитическую работу я отдал дев- 
чонке: была у нас тут одна, Жанна, бредила компами, но никак не могла кое- 
чему обучиться, не давали длинные ноги. Зато логики в ней было - на всех 
нас вместе взятых, она выводы делала быстрей, чем компьютер. И, знаешь, 
похожа была на Софию Ротару в молодости. Не поверишь - одно лицо. Чем 
она меня купила - этим, наверное.. Но, Петр, скажу сразу, слабым звеном 
она не была, хоть и баба. 

- Охотно верю, - согласился Петр, пытаясь отогнать всякие нехорошие 
мысли, которые появились, когда Фома сказал "Уже можно..." - Ты умеешь 
подбирать людей. Всегда умел и, думаю, не растерял это свое умение. 

- Спасибо, - картинно поклонился Фома. Голова тяжело упала и с трудом 
вернулась в исходное положение. Чувствовалось, что Фомин изрядно пьян 
и только чудом сохраняет устойчивость за столом и ясность мысли (впро- 
чем, довольно относительную: Петр видел это по затуманенному взгляду). - 
Приятно видеть рядом с собой понимающего человека... 

Иваныч кивнул и немного поморщился. Пьяному любая лесть в радость. 
"Ладно, послушаем.." 

- Продолжаю. Сконцентрируйся, Петя, - щелкнул несколько раз пальца- 
ми Фома. - Вот так. Пойми, цель у нас была высокая - заработать денег, сде- 
лать себя свободными материально. Не думай, что деньги портят человека - 
я всегда буду уверен в обратном, даже сейчас. Я просто устал от теперешней 
действительности и нашел еще трех таких же уставших, недовольных лю- 
дей. И мы решили стать богатыми. 

- Зачем? - спросил Петр. - То есть, я понял насчет великой цели.. А что-то бо- 
лее приземленное было? Я имею в виду, на что хотелось потратить эти деньги? 

- Конечно, было. Хотелось, как это ни банально, уехать. Причем, в пер- 
вую очередь, уехать куда-нибудь посмотреть мир. То есть. Hy, ты понял. Я 
не хотел эмигрировать - я хотел стать вечным туристом. 

- Сколько же денег вы хотели сделать? - приподнялся Петр, не в силах 
даже примерно прикинуть необходимую сумму. - Или все было наугад - и 
если бы не получилось, пришлось бы повторять свою работу до тех пор, по- 
ка не набралась бы нужная куча валюты? 


- Иваныч, иди к черту! - выругался Фома. - Да кто ж их считает, когда они 
в руки сами плывут?! Вот если бы мне надо было под огонь автоматов идти, 
с вооруженной охраной какого-нибудь банка воевать, вот тогда бы я рассчи- 
тал и сумму, и риск и решил бы, стоит ли игра свеч. А тут-то чего париться? 
Сидишь себе в мягком кресле. Все, что работает - это мозги и пальцы. Да 
сколько бы их там ни было, всегда можно было взять еще! 

- Что ж вы такого придумали? - спросил Петр. - А можно чайник поставить? 

- Bana, я тоже с удовольствием... Но чай не водка - много не выпьешь. 
Вот тут и торт кстати, не зря купил. 

Петр пошел на кухню, унося в себе страх. Он не понимал, к чему Фома 
разоткровенничался. Сам он пришел к Фомину исключительно по старой 
памяти: они много лет были друзьями в реале, и поступок Фомы поставил 
Иваныча в тупик. Он решил понять своего друга, потому и пришел к нему 
тогда, когда все его бросили, проявив пренебрежение (в лучшем случае) и 
ненависть (в основном). Пока из крана в чайник наливалась вода, Петр ду- 
мал о том, как будет продолжаться их разговор, но любопытство разгора- 
лось в нем все больше и больше. Ткнув в кнопку на чайнике, он присел на 
кухне на табуретку и задумался... 
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Дремота временами уходила, как море в отлив. Глаза открывались Ha- 
половину, отмечая происходящее на экране. Вот один из них ушел куда-то 
из поля зрения. Рука сама щелкнула по кнопке, изображение на экране раз- 
делилось на две части. Та-ак. Второй ушел на кухню, включил чайник, при- 
сел. Судя по всему, будет ждать, когда же закипит. Беседа у них явно была 
какой-то натянутой: то ли они не понимали друг друг друга, то ли боялись. 

Первый через несколько секунд встал со своего стула, взглянул в сторо- 
ну двери, налил себе рюмку, вздохнул и выпил ее одним махом. 

У наблюдателя непроизвольно рот наполнился слюной. Глаза стрельну- 
ли в сторону холодильника на изображении, в котором (он помнил это чет- 


Хакеры, Петя, как бабы. 
Секреты хранить могут, 
но не хотят. 


ко) стояли три бутылки пива. Начинать явно не стоило, однако то, с каким ап- 
петитом сейчас закусывал огурчиком парень, очень и очень стимулировало. 
- Нет, не надо поддаваться, - шепнул наблюдатель сам себе и прикрыл 
глаза. - Хрен с ними, с этими хакерами... 
В общем, работа у него была - не бей лежачего. 
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Пока Петра не было, Фомин успел выпить две рюмки. Правда, нетвер- 
дость речи и покачивание пола под ногами заставили его, наконец, обратить 
внимание на еду. Во рту было жутко сухо. Он выпил полграфина апельсино- 
вого сока, даже не поморщившись, хотя полчаса назад в него не влез бы и 
стакан: настолько он терпеть не мог эту кислятину. Они купил-то ее для гос- 
тей, вот только гостей он так и не дождался. 

Его бросили все, с кем он был близок последнее время. Друзья, знако- 
мые, фанаты. Слухи в их среде расползаются хоть и медленно, но въедают- 
ся в репутацию "виновника торжества" намертво. Изменить что-то в своей 
жизни он уже не мог, да и не хотел. Его сломали, сломали навсегда. Хорошо 
хоть оставили в живых... 

Первое время Фомин жалел и об этом - уж слишком много было постав- 
лено на карту, слишком велика была цена успеха или неудачи. Жить не хоте- 
лось совершенно объективно. Проигрыш он расценил как нечто страшное и 
непоправимое, смирился с этим и был готов умереть. Но его оставили жить. И 
OH втянулся. 

Тот, из группы Гифа, который пришел утром и внаглую слупил почти пол- 
нуютарелку салата (кажется, его зовут Максим). А впрочем, неважно, как кого 
зовут. Он был глашатаем. Он донес Go Фомы весть о том, что друзей y него боль- 
ше нет. Нет и вряд ли когда-нибудь появятся. Он жевал салат, запивал его соком 
и говорил, говорил... А Фома слушал, скрипя зубами, и ничего не мог поделать. 

Он He мог даже просто попросить его выйти. Максим должен был сказать 
все, поставить все точки над i B этой гнусной истории. Вытирая рот салфеткой, 
Максим порой произносил слова невнятно, небрежно, но все было понятно и 
без слов. Он мог просто молча прийти, сожрать здесь все и выйти за дверь, 
даже не оглянувшись. Но даже в этом случае все было бы предельно просто 
и понятно. Уважения и сочувствия больше не было в его доме... 

- Знали бы OHM... - сказал Фома, стоя у компьютера и разглядывая свое 
отражение в черном стекле монитора. - Скольких тогда застрелили? Двоих? » 
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Нет, троих: Маршал умер потом в GonbHiue... Через пять недель.. А сколько 
могло бы погибнуть еще? И ведь им невдомек. 

На кухне раздался щелчок: чайник вскипел. Петр хозяйничал там, зава- 
ривая чай в двух кружках. Фома нашел взглядом нож, протянул к нему руку 
и принялся резать торт с числом 30 на нем. Лезвие вошло в бисквит, разде- 
лило пополам несколько розочек. Фома воруг понял, что если не остановит- 
ся сейчас, то сделает из торта кашу. Внезапно в комнату вошел Иваныч, неся 
чай. Фома откашлялся и швырнул нож на стол. 

- Заждался я тебя, - кинул он в сторону Петра, не поднимая глаз. - Устал 
молчать. 

- Сейчас и договорим, - согласился Иваныч, ставя кружки на стол. - Да- 
вай, присоединяйся. 

Фома присел в кресло, переставил к себе чай и положил на блюдце ку- 
сок торта, едва не уронив его на пол. Руки у него заметно тряслись. Он все 
время облизывал сухие губы и нервно зевал. Петр, видя все это, решил: ес- 
ли так и дальше пойдет, лучше уйти, пусть Фома тут со своими тайнами как- 
нибудь сам, без него. В следующий раз разберемся, но по-трезвому. 

- Вкусный чай, - произнес Фома, отхлебнув пару глотков. - Вот только го- 
рячий... Понимаешь, я тогда вдруг понял, что деньги сами к нам в руки плы- 
BYT - только протяни и возьми. Тогда в городе появился банк, который очень 
щедро налево и направо дарил кредиты. Я когда вижу что-то подобное, то 
понимаю, что честно заработанные деньги так не раздают. То есть при удач- 
ном раскладе за эти деньги искать будут очень тихо и медленно, без эмоций 
и милиции. Я влез к ним в сетку, просканировал кое-что, прикинул. Ребята 
здорово помогали с проникновением, а Жанна просчитала вероятности на- 
хождения крупных сумм в самом банке и на его счетах, потом пришла к вы- 
воду, что денег там не то что на четверых - на тысячу человек хватит. Я даже 
пару раз в банк заходил доллары менял. Посмотрел, как там внутри, и понял: 
временное все это, лишь бы деньги отмыть. Правда, очень большие деньги 
быстро не отмоешь, но они торопились, явно торопились... Ремонт у них был 


Тихо заныл кулер. По экрану 
побежали строки БИОСа. 


так себе, косметика одна, лишь бы дыры заделать. Вывеска, правда, яркая, но 
без этого никак. Реклама по всему городу - даты должен сам помнить.. 

Петр кивнул - он действительно помнил рекламную кампанию, охватив- 
шую город в Te времена. Население города жило с тех пор в кредит и соби- 
ралось это делать еще долгое время. Банк наделял всех деньгами за не- 
большой процент, делал все демократично и быстро, не требуя особых га- 
рантий, справок и документов. Это подкупало людей. Они брали деньги, бра- 
Ли охотно: когда еще что-то подобное появится в их краю? 

- „Мы стали готовиться. Неудержимое желание пройтись по чужим сче- 
там бульдозером. Тебе это должно быть знакомо. - Фома, казалось, трезвел 
на глазах. Речь стала более четкой, он смотрел прямо на Петра, а не блуж- 
дал взглядом по углам комнаты. - Я тоже хорошо помню это ощущение - 
волнующее, распирающее чувство силы и безнаказанности. Правда, я всег- 
да себя контролировал. Боялся сорваться в эту самую безнаказанность и 
поверить в нее. Но жизнь всегда подталкивала меня к мысли о том, что я, 
как Раскольников, право имею. И в качестве той старушки, которую надо бы- 
ло убить, я выбрал этот самый банк. 

Иваныч откинулся на спинку дивана и закинул ногу на ногу. Чувствовалось, 
что сегодня можно будет получить ответы на многие вопросы. Фомин всегда от- 
личался либо максимальной скрытностью, либо предельной откровенностью - в 
зависимости от ситуации и расположения к людям, которые его окружали. 

- То есть ты хочешь сказать, что к деньгам, которые ты хотел получить, 
примешивалось еще и что-то спортивное? То самое, что ты всегда пытался 
пресекать в нас? Неужели азарт? 

- Нет, Иваныч, ты не понял, - разочарованно махнул рукой Фома. - Ну 
причем здесь азарт? Ты что, думаешь, Раскольников бабку из азарта зава- 
лил? В таком случае он на одной вряд ли бы остановился, ты ведь должен 
себе представлять это. Человек, который хоть раз испытал возбуждение при 
игре в казино, никогда его не забудет и всегда станет стремиться испытать 
его снова и снова. Я же был готов испытать ощущение победы ОДИН раз... 

- Смысл? - в лоб спросил Петр, который все-таки чего-то не понимал. - 
Ведь выигрыш денег в случае удачи перекрывал все остальное, что ты пы- 
тался вложить в предприятие. Вот если бы я шел на эти миллионы, я бы не 
думал больше ни о чем, кроме них. Деньги - это же такой приз, что все ос- 
тальное просто ни к чему. Выиграй его, а потом испытывай все доступные те- 
бе чувства и эмоции в другом месте и в другое время... 
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- Знаешь, Петр, в чем наше с тобой основное отличие? - укоризненно 
склонил голову Фома. - Для тебя главное - чтобы не поймали. Для меня же 
главное - чтобы ловили... 

Петр развел руками: 

- Чего-то я тебя, Фома, вообще понять не могу... Куда-то ты завернул. В 
философию, блин... 

- Ачто, у хакера не должно быть своей философии? Вот ты всегда стремил- 
ся делать все тихо, не рисковать, взвешивать каждый шаг. Ну и где твои побе- 
ды? Кто помнит о тебе? Какая хак-команда берет с тебя пример, изучает твои 
атаки, пытается рассуждать так, как ты, жаждет проникнуться ТВОЕЙ филосо- 
фией? Ты вечно второй. Я бы даже сказал, третий, а может, цифра больше.. 

Петр слушал закусив губу. Они как-то незаметно отклонились от темы 
беседы, нападение на банк ушло на задний план. Фома задел больные стру- 
ны, сыграл на них издевательскую мелодию. Все, что говорил он сейчас, бы- 
ло истиной в последней инстанции. Иваныч вдруг понял, что у него мелко 
трясется нижняя губа: обида, еще не до конца понятая и проанализирован- 
ная, уже пыталась овладеть им. 

- Ая? - Bgpyr спросил Фома. - Что ты думаешь обо мне? Ведь, согласись, 
хоть я и не стремился к показушности и громкой славе, эта слава всегда 
преследовала меня по пятам. Иногда мне казалось, что подобный подход 
сыграет со мной когда-нибудь злую шутку... Шутка, конечно, удалась. Вот 
только цена ее была крайне высока. 

Он наклонился и нажал кнопку включения питания компьютера. Тихо 
заныл кулер. По экрану побежали строки БИОСа. Фома заботливо просмот- 
рел их, кивнул и сказал: 

- Все было хорошо, за исключением одного, и, к несчастью, я не понял 
этого сразу. Знаешь, Петр, они мне безгранично доверяли: я для них был эта- 
кий гардемарин за компьютером. Алешка Корсак со шпагой. Спаситель Оте- 
чества. Что бы ни случилось - я приду и спасу. 

- Гардемарин... - словно пробуя на вкус, повторил это слово Иваныч. - He 
знаю не знаю.. Ты чего-то сегодня говоришь загадками. Так в чем там было 
дело? - подтолкнул он Фому к беседе о банке и деньгах. - Ты сумел пробить- 
ся на счета? Деньги, о которых мы говорили, ты их получил? 

- Любопытство, Петя - страшная штука, - улыбнулся Фома. - Ho ятебя прек- 
расно понимаю, сам я такой же. Отвечаю на твой вопрос. Я получил эти деньги. И 
вместе с ними получил такую проблему, от которой хотелось выть. Волком. 

Иваныч напрягся. 

- Ты все-таки сумел.. - прошептал он. - Но, в таком случае, почему... 

Он развел руками, пытаясь всем своим видом показать полное непони- 
мание ситуации. Фома проследил его жест и криво улыбнулся. 

- Нетак быстро. Я расскажу... 

Он посмотрел на экран монитора, задумался на пару секунд, а потом 
сказал: 

- Расскажу, а потом кое-что покажу. Ну и вот. мы, как и все нормальные 
люди, хотели все и сразу... 

Петр превратился в соляной столп, глядя на Фому во все глаза. 

- Вариант с переводом большой суммы денег на побставные счета - это, 
конечно, хороший вариант. Но есть свои сложности. Отследить путь переме- 
щения сумм проще, чем снять эти деньги. Ты понимаешь, что извлечь боль- 
шую сумму из банковских кладовых, не привлекая к себе особого внима- 
ния, практически невозможно. Эти проклятые буржуйские структуры с ог- 
ромной неохотой расстаются с вложениями, сделанными доверчивыми 
вкладчиками. 

- Поменьше теории, - нетерпеливо сказал Петр, спохватился и маши- 
нально зажал ладонью рот. - Я хотел сказать, что вся эта лирика сейчас сно- 
ва уведет нас в сторону... 

- Эта лирика - часть моего плана, - недовольно произнес Фома. - Именно 
благодаря этим рассуждениям я решил, что надо заставить их отдать деньги 
самим. Много и сразу. И я стал прослеживать их контакты. Жанна помогла 
мне вычислить их основных партнеров по перемещениям и хранению денег. 
На первый взгляд, несложная задача, но этот банк был каким-то особенным. 
Их компьютеры общались с таким количеством сетей по России и ближнему 
зарубежью, что я порой не успевал воспринимать всю информацию, что сва- 
ливалась на меня. Помогли ребята из группы программирования: они наката- 
ли утилиту, которая анализировала все сама. Мне оставалось только оценить 
все происходящее, исходя из человеческой логики. Вот тут-то Жанне не было 
равных. Получая от нее заключения, я строил дальнейшие планы. 

Фома повернулся к компьютеру, пощелкал мышкой, и на экране появи- 
лась фотография девушки, действительно похожей на Софию Ротару. 

- Вот она, - не поворачиваясь к Петру, сказал Фома. - Единственная о- 
тография, что у меня осталась. Она хотела сделать загранпаспорт - была на 
все сто процентов уверена в нашем успехе... Фотографии не пригодились. 

- Она... Что с ней стало? - дрогнувшим голосом спросил Петр. 


- Ее застрелили первой, - ответил Фома, и Петр поразился отсутствию 
эмоций в его голосе. - Она была ближе всех к двери, когда они вошли.. Зря 
ты спросил. Да ия зря вспомнил. 

Петр понял, что Фомин сейчас нальет себе рюмку. Так и вышло. 

- Жанна помогла мне понять, откуда в банк приходят финансы, откуда 
берется наличка. Некая контора - не буду сейчас останавливаться на том, 
где она и как называется, это тоже "Рога и копыта" - отсылала в наш город 
деньги. Большими партиями. Эти самые деньги использовались банком для 
выдачи кредитов. Причем все это была валюта. Доллары. Я просматривал ее 
аналитические отчеты и никак не мог зацепиться ни за что. Не было ответа 
на вопрос, как прийти туда и взять деньги таким образом, чтобы тебе их да- 
ЛИ И ПОЗВОЛИЛИ С НИМИ ВЫЙТИ. И вдруг в одном из отчетов я заметил, что был 
и обратный канал.. Однажды - один раз за два месяца - деньги уехали на- 
зад. Восемьсот тысяч долларов. Ничего себе сумма, ga? 

Петр выпучил глаза, услышав эту цифру. 

- Увидев это, я понял, что слабое звено где-то здесь. И стал ждать. Вели- 
кое дело - терпение. Парни не понимали, чего я хочу. Я сам еще толком не 
понимал, но знал, что я решу эту задачку. И партия денег в обратном нап- 
равлении спустя три недели всплыла снова.. 

- Не понимаю, - покачал головой Иваныч. - Я, наверное, так же, как и 
твоя группа, не понимаю логики. Чего ты ждал? 

- Мне нужно было понять закономерности и условия перемещения ge- 
нег из банка наружу. Я хотел просчитать ту самую логику, непонятную тебе, 
ивнужный момент встать между двумя конторами маленьким фильтром с 
крупной сеткой... Дело было за малым: надо было узнать, почему они возв- 
ращают деньги. Понимаешь, Петян, ведь если в банк может прийти человек, 
показать паспорт и взять в кредит тысячу долларов, значит, туда может при- 
ехать машина, показать накладную и вывезти миллион баксов.. Только надо 
знать, когда. 

Петр наконец-то стал понимать. 

- Ты стал вычислять эту закономерность.. 

- Ия никогда бы не понял, в чем смысл, если бы не случай. 

Фома встал и прошел к окну. Закрыв глаза, он подставил лицо солнцу. 

- Мне показалось, что я смогу понять все только внутри. И я пошел в 
банк. Придумал неплохую легенду, вошел внутрь и вышел через тридцать 
минут с кредитом в тысячу долларов на новый монитор. Вот на этот. 

Он указал Петру на компьютерный стол. Иваныч кивнул и застыл в ожи- 
дании продолжения. 

- Кредит я отдавать не собирался. Я вообще не собирался заморачивать- 
ся на деньги в этом проклятом городе. В принципе, я уже был одной ногой 
за границей. Взять деньги и рвануть в курортную зону! Кипр, Майами.. "В ми- 
ре столько мест, в которых я ни разу не был!" 

- Трофим поет, - машинально отметил Петр, который тоже любил эту пес- 
ню. - Хороший монитор. Правда, за тысячу долларов можно было купить 
два, а то и три монитора... Но ведь это не важно, да, Фома? Не ради монитора 
все это затевалось? 

- Стаким же успехом я мог купить себе новый диван. Но зачем диван че- 
ловеку, который в своей квартире собирался спать всего лишь пару недель, 
максимум месяц в год? Не потащу же я его с собой в Швейцарию или Но- 
вую Зеландию! А монитор - тот нужен для дела. Приятно вершить свой са- 
мый большой в жизни подвиг, не ломая глаза. 

Петр согласился одним кивком и спросил: 

- А почему Новая Зеландия? 

- Атам "Властелина Колец" снимали. До сих пор в себя прийти не могу - 
какая природа! 

Фома сделал несколько шагов по комнате, потом внезапно остановился 
и посмотрел на Петра: 

- Чего ты мне зубы заговариваешь? Причем тут Зеландия? Тебе же инте- 
ресно, чем все кончилось. Так и He перебивай меня своими дурацкими воп- 
росами. Короче, продолжаю. Суть в том, что монитором дело не кончилось. 
Точнее сказать, именно с него все и началось. Понимаешь, он стоил почти 
восемь сотен, чуть больше. Осталась сотня баксов и еще немного "деревян- 
ных". Я пришел домой, распаковал монитор, установил, включил, полюбо- 
вался... А потом стал думать. И, пока я думал, вертел эту проклятую сотню в 
руках, разглядывал, будто впервые увидел. Что я хотел на ней найти тогда? 
Рецепт счастья? Даже и не знаю сейчас. Но факт остается фактом. Нашел. 

- Что? - подался вперед Иваныч. Фома хитро посмотрел на него. 

- Врать не буду, это я образно сказал. Нашел не я - нашла Жанна. Я был 
ей должен. Правда, должен я был больше, но это ерунда. Она взяла деньги, 
поблагодарила за то, что не наплевал Ha долг - в шутку, конечно... Не пове- 
ришь, Петя, о ней больше всех жалею. Человек она была хороший, итак все 
нелепо.. Ведь не дай я ей тогда эту сотню, возможно, все были бы живы. По- 
нимаешь, Иваныч, сотня оказалась фальшивой. 


- Как? - удивленно поднял брови Петр. - А как жете десятки и сотни кре- 
дитов, которые брали люди? В конце концов, как же твой монитор? Ты его 
тоже за левые баксы взял? Но их же сейчас в каждом магазине проверяют! 
Как?! Как это получилось? 

- Получилось, Петя, получилось. Я потом у Жанны спрашивал, почему 
она решила проверить купюру. Знаешь, что она сказала? Она пыталась по- 
нять, почему из банка увозят деньги. Вот же человеческий фактор! Ведь ес- 
ли из магазина увозят какой-то товар обратно на склад, что это означает? 

- Ичто же? 

- Что товар некачественный, неужели так трудно понять? - Фома даже 
рассердился на Иваныча. - Ведь все лежало на поверхности! Она предполо- 
жила, что банк может пропускать через себя время от времени фальшивые 
деньги, отсюда и простота выдачи кредитов, и репутация банка, этакого вре- 
менного образования на теле города. Ведь ни для кого не секрет, что банк 
выглядел так, будто собирался в любую секунду испариться. И точно - как в 
воду глядела! У нее были связи, она сумела сделать анализ бумаги, на кото- 
рой печатались деньги. Бумага оказалась поддельной, несмотря на то, что 
все остальное было сделано настолько удачно, что придраться было не к 
чему. Купюра проходила проверку на любых стендах, имитировала любую 
защиту. Клише, на котором печатались деньги, было едва ли не лучше, чем 
оригинал в Федеральном казначействе. 

- И никто за целый год не догадался? - спросил Петр. - Ведь тех, кто 
пользовался услугами банка, было несколько тысяч. 

- Да кому оно надо! - возмутился Фома. - Никто и не станет копаться в 
этом, если деньги проходят проверку на детекторах в кассах магазинов! Всех 
устраивали эти красивые зеленые, а потом и розовые бумажки! 

- А Жанна посчитала, что они уж слишком красивые? - вдруг сказал 
Петр, и Фомин кивнул, соглашаясь. 

- Именно, Иваныч, именно.. Так и сказала: "Уж очень они здорово выгля- 
дят, будто их сюда прямо из Америки возят". А возили их из соседней области. 


Дело было за малым: надо 
было узнать, почему они 
возвращают деньги. 


Петр пригладил волосы, как делал всегда, когда волновался и с трудом 
переваривал поступающую информацию. 

- Но ведь это... Это такой криминал! - только и сумел выдавить он из се- 
бя. - Это же сколько денег наводнили наш город и район! Черт возьми... 

- Криминал, Петя. Да еще какой! Но из любого криминала можно изв- 
лечь выгоду, если ты обнаруживаешь его первым. Ситуация была такая, что 
распознать деньги никто не мог. Приходилось только восхищаться теми ре- 
бятами, что изготовили клише и сломали все степени защиты банкнот. И ког- 
дая понял, что их работа заслуживает похвалы, я принял решение. Надо бы- 
ло перехватить машину с деньгами, идущую назад. 

- Зачем? Ты собирался напасть на них? - глаза у Петра полезли на лоб. 

- Никогда, - хмыкнул Фома. - Все гораздо проще: они должны были сами 
мне их отдать. 

- Как? 

- Понимаешь, я решил, что решение о том, пускать деньги в оборот или 
не пускать, принимают именно в банке. Ведь если бы бракованную партию 
обнаружили прямо в цехе фальшивомонетчиков, то вряд ли бы она доеха- 
ла сюда. Ее ликвидировали бы на месте. Значит, в банке сидит эксперт, кото- 
рый и решает, имеет ли партия денег право на существование. Уж не знаю, 
что он с ней делает, как проверяет, но именно он дает добро. Или делает так, 
что деньги уезжают обратно... 

- А почему бы их не уничтожать на месте? Поняли, что не получились 
баксы - да и в печь их? В котельной какой-нибудь? 

- А чего в чужой монастырь со своим уставом лезть? Откуда я знаю? Mo- 
жет, у них там такие жестокие отношения между собой, что не дай бог хоть 
один доллар утаить - приедут на танке и разнесут банк к чертовой матери. 
Хотя в твоих словах есть разумный момент. надо было держать в банке двух 
экспертов, с обеих сторон. Вместе присели, коньячку плеснули в рюмки и 
договорились, в печку или в сейф. Но, повторюсь, так было, и изменить это я 
сейчас не в состоянии. 

Фома опустился за компьютер. 

- Мои ребята стали плотно опекать банковские сети. Ничто не уходило и 
не приходило на их серверы незамеченным. Мы отслеживали весь их тра- 
фик, составили расписание перемещения денег, уточнили все детали, какие 
только можно было проверить, порой не задумываясь, нужны ли они будут 
в будущем. Спустя пару недель у нас сформировался четкий компьютерный у 
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портрет банка и той организации, что делала для них "товар". Осталось 
только ждать сообщения о том, что пришла некачественная партия - мы 
надеялись на то, что сумеем понять корпоративный шифр. К тому времени 
мы могли изготовить любой документ банка для всех надобностей: каждая 
бумажка прошла тщательный контроль и могла быть использована совер- 
шенно безбоязненно. Весь транспорт, что приходил и уходил из ворот бан- 
ка, был сфотографирован нами. На частном предприятии - они с ГИБДД 
сотрудничали - были изготовлены фальшивые номерные знаки... Сложно 
даже сказать, какую работу мы провернули, не жалея последних своих 
сбережений. 

- Но зачем? - спросил Петр. - Зачем вам нужны были бракованные деньги? 

- Знаешь, Иваныч, я тоже поначалу сам себе задавал этот вопрос. Ответ 
был прост. судя по всему, брак был неочевиден. Эксперт просто перестрахо- 
вывался и, как мне кажется, просто оправдывал свое существование. Ему 
нужно было временами показывать бурную деятельность, что у него непло- 
хо получалось. В дальнейшем мы это подтвердили.. 

Спустя шестнадцать дней работы мы, наконец, получили результат. Мы 
знали день и час прибытия машины. Мы знали имена, фамилии и внешность 
всех банковских сотрудников, которые были задействованы в этой опера- 
ции. Мы подготовили машину и необходимые документы. 

Фома внезапно замолчал, словно не в силах был говорить дальше. По- 
том, переборов в себе что-то, не дававшее продолжать, вновь заговорил: 

-Имы получили эти деньги. Каждый из нас GO последнего сомневался в 
том, что у нас получится. Это я узнал уже потом, когда мы пришли сюда, в 
эту квартиру, после того, как надежно спрятали деньги. Все мы - ия в том 
числе - боялись. Боялись GO дрожи в коленях, до стука зубов, go npega- 
тельского пота на висках... Но мы сделали это. Мы взяли шестьсот пятьдесят 
тысяч долларов. Разделив это на четверых, мы пришли к выводу, что нам 
хватит на первое время. 


Квартира к тому времени была 
отмыта от крови, трупы убраны. 


- Шестьсот пятьдесят тысяч... С ума сойти... - прошептал Петр. - Да это це- 
лое состояние... 

- На первый взгляд да. Это много денег. Но каждый меряет по-своему. 
Мы тоже вступили друг с другом в спор - хватит нам или нет. Жанна хотела 
уехать во Францию, двое программеров жаждали американской свободы, я 
же, как ты знаешь, был готов оставить эту страну ради Новой Зеландии. Мы 
рассуждали о том, как каждый из нас будет заниматься вопросами своего 
отъезда, как мы будем перемещать деньги, как будем их отмывать.. 

Перед нами был непочатый край работы. Намного больше было сделано 
для того, чтобы получить эти деньги. Но мы были готовы. Мы хотели жить.. 
Мы были напуганы и счастливы одновременно. Мы пили шампанское, шути- 
ли, расслаблялись... 

А потом кто-то позвонил в дверь, Жанна пошла открывать и получила 
пулю в сердце. Мы не слышали выстрела. Когда в комнату вошел мужчина с 
пистолетом, он задал всего один вопрос: кто из трех парней здесь Фома. Не 
сговариваясь, парни посмотрели в мою сторону и тут же были убиты. Вот 
прямо здесь, на этом диване. Там же, где ты сейчас сидишь... 

Петр машинально отодвинулся от того места, которое занимал, в даль- 
ний угол дивана. 

- Вот-вот, - покачал головой Фома. - Потом он подошел ко мне (а я пья- 
ный да еще напуганный) и предложил пройти с ним. Ия пошел. Это оказал- 
ся киллер из той конторы, что делала фальшивые деньги. Я мгновенно прот- 
резвел и подчинился... 

Иваныч слушал, раскрыв рот. Пальцы его сжались в кулаки, сам он 
превратился в статую. Широко распахнутые глаза смотрели на Фому, как на 
Иоанна Крестителя, возвещающего о скором прибытии Христа. 

- CO мной долго не разговаривали. Человек, к которому меня привезли, 
вежливо спросил, где деньги. Я сказал. Он отправил туда машину. Через 
полчаса ему сообщили, что товар возвращен. Тогда он пригласил в комнату, 
где меня держали, еще одного человека - HOYT OH за собой таскал. Тот стал 
расспрашивать меня о том, как мы это сделали. Я попытался было спихнуть 
основную часть проблемы на убитых ребят, но меня быстро привели в 
чувство шокером и угрозой подсадить на иглу. Пришлось рассказывать и 
показывать на компьютере... Знаешь, Петя, как легко все это делать под gy- 
лом пистолета, особенно когда помнишь простреленную Жанну, лежащую 
поперек коридора... Короче, я рассказал все. Потом первый человек вернул- 


ХАКЕРСПЕЦ | 08(57) | 2005 


ся. Они пошептались со вторым и пришли к выводу, что такие мозги, как у 
меня, нельзя просто "закатать в бетон" или "сбросить в реку". Их надо ис- 
пользовать по назначению. Мне сделали предложение - ну как, скажи, я мог 
от него отказаться? Я и стал работать на них. 

Через пару дней они объявили о назначении меня новым экспертом по 
компьютерной безопасности. Квартира к тому времени была отмыта от кро- 
ви, трупы убраны. Меня поселили сюда, как в золотую клетку. Я перемеща- 
юсь под их присмотром, за мной следят без конца - и в постели, и в туалете. 
Мой компьютер контролируется кем-то, кого я никогда не видел, но он прак- 
тически равен мне по силе. Мне разрешили отметить мой день рождения... 
Вот только никто не захотел прийти и поздравить того, кто, по их мнению, 
предал ребят и перешел на службу к тем, кто всегда был объектом Hanage- 
ния. Все посчитали меня предателем. Никто толком так и не знает, куда де- 
лась моя группа: люди просто исчезли из этой жизни... Но я всегда помню 
их. Мне так трудно жить, зная о том, что я работаю на тех, кто убил... Ноя б0- 
юсь... Боюсь смерти, боюсь боли. 

- Зачем ты мне все это рассказал? - спросил Петр. 

- Мне в этой жизни осталось только одно, - чеканя каждое слово, отве- 
тил Фома. - ОТОМСТИТЬ. 

- Кому? Этим людям? Тем, кто расстрелял твоих друзей? 

- Нет, Петр, не им. He им. Tak уж получилось, что мои мозги, которые рабо- 
тают сейчас на моих врагов, ни на секунду не забывали все то, что я умел 
раньше. TOT человек, что курирует мою работу дома, силен. Очень силен. Но 
не настолько, насколько необходимо. Все эти камеры, жучки - чушь. Вот здесь 
(онткнул пальцем себе в висок) есть все, чтобы заткнуть за пояс любого. 

Он повернулся к компьютеру и положил пальцы на клавиатуру. 


ж жжжж 


Человек проснулся оттого, что загудел тревожный сигнал. Он автомати- 
чески ткнул пальцем в клавиши, экран засветился. 

- Сложно сказать, что он делает, но я отмечаю сетевую активность, - 
быстро проговорил он в гарнитуру, прижимая ее к щеке. - Я пытаюсь остано- 
вить, но у меня не получается. 

Он быстро забарабанил по клавишам, время от времени сверяясь с по- 
казаниями мониторов сети. Губы шевелились, сыпались проклятия. 

- Не могу, не могу, - бормотал он себе под нос. - Не могу, не могу... Так He 
бывает! 

Он ударил кулаком по столу и откатился назад в кресле. 

- Похоже, у меня мало времени, - сказал он сам себе, потом посмотрел 
на часы, вскочил и, накинув куртку на плечи, выбежал в дверь. Надо было 
поймать такси go аэропорта. Оставаться здесь было опасно.. 
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Руки работали отдельно от Фомы. Он прикасался к клавишам, словно 
пианист, временами закрывая глаза. 

- Что ты делаешь? - спросил Петр, подавшись вперед. 

- Ты видел запись? - в свою очередь задал вопрос Фома. - Я знаю, у 
киллера была маленькая камера, приколотая к лацкану пиджака. 

- Какую запись? 

- Ты отодвинулся от того места, где лежали трупы. Не думаю, что это слу- 
чайность. Ты знаешь, где они сидели, потому что видел запись. 

- Что ты говоришь? Я не понимаю тебя! - Иваныч вскочил с дивана и ото- 
шел на шаг, ближе к коридору. 

- Ведь это ты, Петя... Ты нас сдал. Я знаю, я прощупал всю их аппаратуру, 
у меня есть доказательства. Ты - единственный, кто завидовал мне в откры- 
Тую. Ты ведь ко мне сегодня только с одной целью - посмотреть, каково мне 
сейчас, брошенному и заплеванному. Я не представляю, как ты живешь сей- 
час, но уверен - тебе недолго осталось. 

Фома в последний раз ударил по клавишам и выключил комп. 

- Ну? - улыбнулся он Петру. - В тот раз они пришли очень быстро. 

И когда в дверь ворвались двое с пистолетами, он прикрыл глаза, вспо- 
миная Жанну, похожую на Софию Ротару в молодости... 

Ав цехе, где шла печать очередной партии долларов, что-то случилось с 
программой, отвечающей за вывод. Внезапно повысилась температура в 
станке, бумагу стало корежить и выгибать дугой. Никто не мог остановить 
процесс, словно кнопки "Отмена" не существовало. И когда очередной лист 
перекосило и заклинило, внутри все пошло вразнос. Клише вырвало из сво- 
его гнезда и расплющило о выходной лоток... 

А Петр с простреленной головой лежал в тарелке лицом в любимом са- 
лате из крабовых палочек и кукурузы. Именинник с пулей в сердце чуть по- 
качивался в кресле напротив компьютера... 


Праздник удался. Ч 
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Москва: АБ-групп (095) 745-5175; Акситек (095) 784-7224; Банкос (095) 128-9022; ДЕЛ (095) 250-5536; Дилайн (095) 969-2222; Инкотрейд (095) 176-2873; ИНЭЛ (095) 742-6436; Карин (095) 956-1158; 
Компьютерный салон SMS (095) 956-1225; Компания КИТ (095) 777-6655; Никс (095) 974-3333; ОЛДИ (095) 105-0700; Регард (095) 912-4224; Сетевая Лаборатория (095) 784-6490; 
СКИД (095) 232-3324; Тринити Электроникс (095) 737-8046; Формоза (095) 234-2164; Ф-Центр (095) 472-6104; ЭЛСТ (095) 728-4060; Flake (095) 236-992; Force Computers (095) 775-6655; 
ISM (095) 718-4020; Meijin (095) 727-1222; NT Computer (095) 970-1930; R-Style Trading (095) 514-1414; USN Computers (095) 755-8202; ULTRA Computers (095) 729-5255; ЭЛЕКТОН (095) 956-3819; 
ПортКом (095)777-0210; Архангельск: Северная Корона (8182) 653-525; Волгоград: Texkom (8612) 699-850; Воронеж: Pet (0732) 779-339; РИАН (0732) 512-412; Сани (0732) 54-00-00; 
Иркутск: Билайн (3952) 240-024; Комтек (3952) 258-338; Краснодар: Игрек (8612) 699-850; Лабытнанги: КЦ ЯМАЛ (34992) 51777; Липецк: Регард-тур (0742) 485-285; 
Новосибирск: Квеста (38322) 332-407; Нижний Новгород: Бюро-К (8312) 422-367; Пермь: Гаском (8612) 699-850; Ростов-на-Дону: Зенит-Компьютер (8632) 950-300; 


Тюмень: ИНЭКС-Техника (3452) 390-036. 
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ЕЖЕМЕСЯЧНЫЙ ТЕМАТИЧЕСКИЙ КОМПЬЮТЕРНЫЙ ЖУРНАЛ 


